Fireblocks divulga vulnerabilidades que afetam os 15 principais provedores de carteiras cripto

O conjunto de vulnerabilidades, apelidado de “BitForge”, permitiria que um invasor recuperasse uma chave privada de um único dispositivo.

Uma equipe de pesquisadores da empresa de infraestrutura cripto Fireblocks divulgou um conjunto de vulnerabilidades que, segundo eles, afetam alguns dos provedores de tecnologia de computação multipartidária (MPC) mais amplamente adotados.

1/ A equipe de pesquisa do Fireblocks descobriu o BitForge, um conjunto de vulnerabilidades em alguns dos protocolos MPC mais amplamente adotados, que permitem que um invasor recupere uma chave privada de um único dispositivo. Leia → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

– Blocos de fogo (@FireblocksHQ) 9 de agosto de 2023

Os pesquisadores se referiram à descoberta como “BitForge”, descrevendo o conjunto de vulnerabilidades de dia zero como algo que teria permitido a um explorador exfiltrar as chaves privadas de um usuário devido à falta de uma prova de conhecimento zero nos protocolos MPC GG-18 e GG-20.

Enquanto isso, a vulnerabilidade que afeta o protocolo Lindell 17 foi resultado de provedores de carteira se afastando das especificações estabelecidas no artigo acadêmico, o que criou um backdoor para os invasores exporem parte da chave privada quando a assinatura falha.

“A vulnerabilidade permite a extração completa da chave privada, permitindo que os invasores roubem todos os fundos da carteira criptográfica,” notado os pesquisadores do Fireblocks.

O termo “dia zero” refere-se a vulnerabilidades não descobertas anteriormente, que os desenvolvedores basicamente têm zero dias para corrigir.

Essas vulnerabilidades afetam mais de 15 provedores de carteiras de ativos digitais, blockchains e outros projetos que dependem desses protocolos MPC, incluindo Coinbase, ZenGo e Binance. Desde então, essas empresas resolveram os problemas relacionados ao BitForge depois que o Fireblocks apresentou suas descobertas documentadas.

“É exatamente assim que se parece a colaboração de segurança proativa. O problema foi prontamente resolvido e nenhum dinheiro do usuário foi afetado”, disse Tal Be'ery, diretor de tecnologia da ZenGo.

Coinbase também reconhecido Divulgação da Fireblocks, observando que, embora seu produto de consumo Coinbase Wallet não tenha sido afetado pelo problema, as versões anteriores de sua solução Wallet as a Service usavam algumas das bibliotecas em questão.

2/ A Coinbase lançou imediatamente bibliotecas atualizadas em maio para melhorar o tratamento de erros, apesar da falta de capacidade de exploração. Isso faz parte do nosso compromisso de melhorar continuamente e manter os mais altos padrões de segurança.

— Nuvem Coinbase 🛡️ (@CoinbaseCloud) 9 de agosto de 2023