מערכת הפגיעות, המכונה "BitForge", תאפשר לתוקף לאחזר מפתח פרטי ממכשיר בודד.
פורסם ב-9 באוגוסט 2023 בשעה 11:47 EST.
צוות חוקרים בחברת תשתית ההצפנה Fireblocks חשף קבוצה של נקודות תורפה שלדבריהם משפיעות על חלק מספקי הטכנולוגיה הרב-צדדית (MPC) המאומצים ביותר.
1/ צוות המחקר של Fireblocks חשף את BitForge, קבוצה של פגיעויות בכמה מפרוטוקולי MPC המאומצים ביותר, המאפשרים לתוקף לאחזר מפתח פרטי ממכשיר יחיד. המשך לקרוא → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
- Fireblocks (@FireblocksHQ) אוגוסט
החוקרים התייחסו לגילוי כ"BitForge", ותיארו את מערך הפגיעויות של יום אפס כמשהו שהיה מאפשר לנצלן לחלץ מפתחות פרטיים של משתמש עקב הוכחה חסרה של אפס ידע בפרוטוקולי MPC GG-18 ו GG-20.
בינתיים, הפגיעות שהשפיעה על פרוטוקול Lindell 17 נבעה מכך שספקי ארנקים התרחקו מהמפרטים שנקבעו במאמר האקדמי, מה שיצר דלת אחורית לתוקפים לחשוף חלק מהמפתח הפרטי כאשר החתימה נכשלת.
"הפגיעות מאפשרת מיצוי מפתח פרטי מלא, ומאפשרת לתוקפים לגנוב את כל הכספים מארנק הקריפטו." ציין חוקרי Fireblocks.
המונח "יום אפס" מתייחס לפרצות שטרם התגלו, שלמפתחים יש למעשה אפס ימים לתקן.
נקודות תורפה אלו משפיעות על יותר מ-15 ספקי ארנקי נכסים דיגיטליים, בלוקצ'יין ופרויקטים אחרים המסתמכים על פרוטוקולי MPC אלה, כולל Coinbase, ZenGo ו-Binance. חברות אלה פתרו מאז את הבעיות הנוגעות ל-BitForge לאחר ש-Fireblocks הציגה להן את הממצאים המתועדים שלה.
"כך בדיוק נראה שיתוף פעולה אבטחה פרואקטיבי. הנושא טופל באופן מיידי, ולא הושפעו כספי המשתמשים", אמר טל בארי, סמנכ"ל הטכנולוגיה ב-ZenGo.
Coinbase גם הודה החשיפה של Fireblocks, וציינה כי בעוד שהמוצר הצרכני של ארנק Coinbase שלה לא הושפע מהבעיה, גרסאות קודמות של פתרון הארנק כשירות שלה השתמשו בחלק מהספריות המדוברות.
2/ Coinbase שחררה מיד ספריות מעודכנות במאי כדי לשפר את הטיפול בשגיאות, למרות חוסר הניצול. זה חלק מהמחויבות שלנו לשפר ולשמור ללא הרף על הסטנדרטים הגבוהים ביותר של אבטחה.
— Coinbase Cloud 🛡️ (@CoinbaseCloud) אוגוסט
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/
- :יש ל
- :הוא
- :לֹא
- 10
- 11
- 15%
- 17
- 2023
- 31
- 32
- 500
- 9
- a
- אקדמי
- מאומץ
- להשפיע על
- משפיע
- לאחר
- תעשיות
- להתיר
- מאפשר
- an
- ו
- AS
- נכס
- At
- אוגוסט
- רָחוֹק
- דלת אחורית
- binance
- blockchains
- by
- רֹאשׁ
- מנהל טכנולוגיה ראשי
- ענן
- coinbase
- ארנק Coinbase
- שיתוף פעולה
- מחויבות
- חישוב
- צרכן
- ברציפות
- נוצר
- קריפטו
- תשתית קריפטו
- ארנק קריפטו
- ימים
- למרות
- מפתחים
- מכשיר
- דיגיטלי
- נכס דיגיטלי
- מגלה
- חשיפה
- תגלית
- דיבוב
- ראוי
- מופעל
- מאפשר
- שגיאה
- למעשה
- בדיוק
- נכשל
- ממצאים
- שריפות אש
- פירמה
- חברות
- לסדר
- בעד
- החל מ-
- מלא
- כספים
- טיפול
- יש
- הגבוה ביותר
- HTTPS
- מיד
- מושפעים
- השפעה
- לשפר
- in
- כולל
- תשתית
- סוגיה
- בעיות
- שֶׁלָה
- מפתח
- מפתחות
- חוסר
- ספריות
- כמו
- נראה
- לתחזק
- גדול
- max-width
- מאי..
- חסר
- יותר
- רוב
- נע
- MPC
- רב מפלגות
- לא
- וציין
- of
- קָצִין
- on
- אחר
- שלנו
- הַחוּצָה
- מאמר
- חלק
- הנוגעים
- צילום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פורסם
- מוצג
- קודם
- קוֹדֶם
- פְּרָטִי
- מפתח פרטי
- מפתחות פרטיים
- פרואקטיבי
- המוצר
- פרויקטים
- הוכחה
- פרוטוקול
- פרוטוקולים
- ספקים
- שאלה
- חומר עיוני
- מכונה
- מתייחס
- שוחרר
- לסמוך
- מחקר
- חוקרים
- נפתרה
- תוצאה
- אמר
- לומר
- אבטחה
- שרות
- סט
- חתימה
- since
- יחיד
- פִּתָרוֹן
- כמה
- משהו
- מפרטים
- תקנים
- נבחרת
- טכנולוגיה
- טווח
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- אלה
- הֵם
- זֶה
- ל
- נָכוֹן
- חָשׂוּף
- לא התגלה
- Unsplash
- מְעוּדכָּן
- מְשׁוּמָשׁ
- משתמש
- כספי משתמשים
- גירסאות
- פגיעויות
- פגיעות
- ארנק
- היה
- היו
- מה
- מתי
- אשר
- בזמן
- באופן נרחב
- עם
- היה
- זפירנט
- אפס
- פגיעות של יום אפס
- ידע אפס
- הוכחת ידע אפס