Settet med sårbarheter, kalt "BitForge", ville tillate en angriper å hente en privat nøkkel fra en enkelt enhet.
Foto av charlesdeluvio på Unsplash
Lagt ut 9. august 2023 kl. 11:47 EST.
Et team av forskere ved kryptoinfrastrukturfirmaet Fireblocks har avslørt et sett med sårbarheter som de sier påvirker noen av de mest utbredte leverandørene av multi-party computation (MPC) teknologi.
1/ Fireblocks-forskningsteamet har avdekket BitForge, et sett med sårbarheter i noen av de mest brukte MPC-protokollene, som lar en angriper hente en privat nøkkel fra en enkelt enhet. Les videre → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
Forskerne refererte til oppdagelsen som "BitForge", og beskrev settet med nulldagssårbarheter som noe som ville ha gjort det mulig for en utnytter å eksfiltrere de private nøklene til en bruker på grunn av manglende nullkunnskapsbevis i MPC-protokollene GG-18 og GG-20.
I mellomtiden var sårbarheten som påvirker Lindell 17-protokollen et resultat av at lommebokleverandører beveget seg bort fra spesifikasjonene i den akademiske artikkelen, noe som skapte en bakdør for angripere til å avsløre deler av den private nøkkelen når signering mislykkes.
"Sårbarheten muliggjør full privat nøkkelutvinning, slik at angripere kan stjele alle midler fra kryptolommeboken," bemerket Fireblocks-forskerne.
Begrepet "nulldager" refererer til tidligere uoppdagede sårbarheter, som utviklere i hovedsak har null dager på å fikse.
Disse sårbarhetene påvirker mer enn 15 leverandører av digitale eiendeler, blokkjeder og andre prosjekter som er avhengige av disse MPC-protokollene, inkludert Coinbase, ZenGo og Binance. Disse firmaene har siden løst problemene knyttet til BitForge etter at Fireblocks presenterte dem med sine dokumenterte funn.
«Dette er akkurat hvordan proaktivt sikkerhetssamarbeid ser ut. Problemet ble raskt løst, og ingen brukermidler ble berørt, sier Tal Be'ery, teknologisjef i ZenGo.
Coinbase også erkjente Fireblocks avsløring, og bemerket at selv om forbrukerproduktet Coinbase Wallet ikke ble påvirket av problemet, brukte tidligere versjoner av Wallet as a Service-løsningen noen av de aktuelle bibliotekene.
2/ Coinbase ga umiddelbart ut oppdaterte biblioteker i mai for å forbedre feilhåndtering, til tross for mangelen på utnyttelse. Dette er en del av vår forpliktelse til å kontinuerlig forbedre og opprettholde de høyeste sikkerhetsstandardene.
— Coinbase Cloud 🛡️ (@CoinbaseCloud) August 9, 2023
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/
- : har
- :er
- :ikke
- 10
- 11
- 15%
- 17
- 2023
- 31
- 32
- 500
- 9
- a
- akademisk
- vedtatt
- påvirke
- påvirker
- Etter
- Alle
- tillate
- tillate
- an
- og
- AS
- eiendel
- At
- August
- borte
- backdoor
- binance
- blokkjeder
- by
- sjef
- Chief Technology Officer
- Cloud
- coinbase
- Coinbase Wallet
- samarbeid
- engasjement
- beregningen
- forbruker
- kontinuerlig
- opprettet
- krypto
- Krypto infrastruktur
- Krypto lommebok
- Dager
- Til tross for
- utviklere
- enhet
- digitalt
- Digital eiendel
- Avslører
- avsløring
- Funnet
- dubbet
- to
- aktivert
- muliggjør
- feil
- hovedsak
- nøyaktig
- mislykkes
- funn
- BRANNKLOSER
- Firm
- bedrifter
- Fix
- Til
- fra
- fullt
- midler
- Håndtering
- Ha
- høyest
- HTTPS
- umiddelbart
- påvirket
- slag
- forbedre
- in
- Inkludert
- Infrastruktur
- utstedelse
- saker
- DET ER
- nøkkel
- nøkler
- maling
- bibliotekene
- i likhet med
- UTSEENDE
- vedlikeholde
- større
- max bredde
- Kan..
- mangler
- mer
- mest
- flytting
- MPC
- flerparti
- Nei.
- merke seg
- of
- Offiser
- on
- Annen
- vår
- ut
- Papir
- del
- vedrørende
- bilde
- plato
- Platon Data Intelligence
- PlatonData
- postet
- presentert
- forrige
- tidligere
- privat
- private Key
- Private nøkler
- Proaktiv
- Produkt
- prosjekter
- bevis
- protokollen
- protokoller
- tilbydere
- spørsmål
- Lese
- referert
- refererer
- utgitt
- avhengige
- forskning
- forskere
- løst
- resultere
- Sa
- sier
- sikkerhet
- tjeneste
- sett
- signering
- siden
- enkelt
- løsning
- noen
- noe
- spesifikasjoner
- standarder
- lag
- Teknologi
- begrep
- enn
- Det
- De
- Dem
- Disse
- de
- denne
- til
- sant
- avdekket
- uoppdaget
- Unsplash
- oppdatert
- brukt
- Bruker
- brukerfond
- versjoner
- Sikkerhetsproblemer
- sårbarhet
- lommebok
- var
- var
- Hva
- når
- hvilken
- mens
- allment
- med
- ville
- zephyrnet
- null
- nulldagers sårbarheter
- null-kunnskap
- null kunnskap bevis
