Fireblocks、主要暗号通貨ウォレットプロバイダー15社に影響を与える脆弱性を公開

「BitForge」と呼ばれる一連の脆弱性により、攻撃者は単一のデバイスから秘密キーを取得できます。

暗号インフラ企業 Fireblocks の研究者チームは、最も広く採用されているマルチパーティ コンピューテーション (MPC) テクノロジー プロバイダーの一部に影響を与える一連の脆弱性を明らかにしました。

1/ Fireblocks 研究チームは、最も広く採用されている MPC プロトコルの一部に存在する一連の脆弱性である BitForge を発見しました。この脆弱性により、攻撃者は単一のデバイスから秘密キーを取得できます。 続きを読む → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— ファイアブロック (@FireblocksHQ) 2023 年 8 月 9 日

研究者らはこの発見を「BitForge」と呼び、一連のゼロデイ脆弱性を、MPC プロトコル GG-18 および GG-20 にゼロ知識証明が欠落しているため、悪用者がユーザーの秘密鍵を抜き出すことを可能にするものであると説明しました。 GG-XNUMX。

一方、Lindell 17プロトコルに影響を与える脆弱性は、ウォレットプロバイダーが学術論文に記載されている仕様から遠ざかった結果であり、署名が失敗したときに攻撃者が秘密鍵の一部を公開するためのバックドアが作成されました。

「この脆弱性により完全な秘密キーの抽出が可能になり、攻撃者が暗号通貨ウォレットからすべての資金を盗むことが可能になります。」 注意 ファイアブロックの研究者たち。

「ゼロデイ」という用語は、開発者が基本的にゼロデイで修正できる未発見の脆弱性を指します。

これらの脆弱性は、Coinbase、ZenGo、Binance など、15 を超えるデジタル資産ウォレット プロバイダー、ブロックチェーン、およびこれらの MPC プロトコルに依存するその他のプロジェクトに影響を与えます。 これらの企業は、Fireblocks が文書化された調査結果を提出した後、BitForge に関連する問題を解決しました。

「これはまさにプロアクティブなセキュリティ コラボレーションです。 この問題はすぐに対処され、ユーザーの資金には影響はありませんでした」と ZenGo の最高技術責任者、タル ベリー氏は述べています。

コインベースも 認め Fireblocks の開示では、同社の消費者向け製品 Coinbase Wallet はこの問題の影響を受けていないものの、Wallet as a Service ソリューションの以前のバージョンでは問題のライブラリの一部が使用されていたと指摘しています。

2/ Coinbase は、悪用可能性がないにもかかわらず、エラー処理を改善するために XNUMX 月に更新されたライブラリをすぐにリリースしました。 これは、最高水準のセキュリティを継続的に改善および維持するという当社の取り組みの一環です。

— Coinbase クラウド 🛡️ (@CoinbaseCloud) 2023 年 8 月 9 日