Fireblocks onthult kwetsbaarheden die van invloed zijn op 15 grote aanbieders van crypto-portemonnees

De reeks kwetsbaarheden, genaamd "BitForge", zou een aanvaller in staat stellen een privésleutel van een enkel apparaat te halen.

Een team van onderzoekers van het crypto-infrastructuurbedrijf Fireblocks heeft een reeks kwetsbaarheden onthuld die volgens hen van invloed zijn op enkele van de meest gebruikte multi-party computation (MPC) technologieproviders.

1/ Het onderzoeksteam van Fireblocks heeft BitForge ontdekt, een reeks kwetsbaarheden in enkele van de meest gebruikte MPC-protocollen, waardoor een aanvaller een privésleutel van een enkel apparaat kan ophalen. Lees verder → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Vuurblokken (@FireblocksHQ) 9 Augustus 2023

De onderzoekers noemden de ontdekking "BitForge", waarbij ze de reeks zero-day-kwetsbaarheden beschrijven als iets dat een uitbuiter in staat zou hebben gesteld om de privésleutels van een gebruiker te exfiltreren vanwege een ontbrekend zero-knowledge-bewijs in MPC-protocollen GG-18 en GG-20.

Ondertussen was de kwetsbaarheid die het Lindell 17-protocol aantastte het gevolg van het feit dat portemonnee-aanbieders afstand namen van de specificaties in het academische artikel, waardoor een achterdeur werd gecreëerd voor aanvallers om een ​​deel van de privésleutel bloot te leggen wanneer het ondertekenen mislukt.

"De kwetsbaarheid maakt volledige extractie van privésleutels mogelijk, waardoor aanvallers al het geld uit de crypto-portemonnee kunnen stelen." bekend de Fireblocks-onderzoekers.

De term "zero-day" verwijst naar eerder onontdekte kwetsbaarheden, die ontwikkelaars in wezen nul dagen hebben om te repareren.

Deze kwetsbaarheden zijn van invloed op meer dan 15 aanbieders van digitale portefeuilles, blockchains en andere projecten die afhankelijk zijn van deze MPC-protocollen, waaronder Coinbase, ZenGo en Binance. Deze firma's hebben sindsdien de problemen met BitForge opgelost nadat Fireblocks hen de gedocumenteerde bevindingen had gepresenteerd.

“Dit is precies hoe proactieve beveiligingssamenwerking eruit ziet. Het probleem werd snel verholpen en er werden geen gebruikerstegoeden aangetast”, zegt Tal Be'ery, chief technology officer bij ZenGo.

Coinbase ook erkend De onthulling van Fireblocks, erop wijzend dat hoewel zijn Coinbase Wallet-consumentenproduct niet door het probleem werd beïnvloed, eerdere versies van zijn Wallet as a Service-oplossing enkele van de betreffende bibliotheken gebruikten.

2/ Coinbase heeft in mei onmiddellijk bijgewerkte bibliotheken uitgebracht om de foutafhandeling te verbeteren, ondanks het gebrek aan exploiteerbaarheid. Dit maakt deel uit van ons streven om voortdurend de hoogste beveiligingsnormen te verbeteren en te behouden.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) 9 Augustus 2023