Набор уязвимостей, получивший название BitForge, позволит злоумышленнику получить закрытый ключ с одного устройства.
Опубликовано 9 августа 2023 г., 11:47 по восточному поясному времени.
Группа исследователей из компании Fireblocks, специализирующейся на криптоинфраструктуре, раскрыла ряд уязвимостей, которые, по их словам, затрагивают некоторых из наиболее широко распространенных поставщиков технологий многосторонних вычислений (MPC).
1/ Исследовательская группа Fireblocks обнаружила BitForge, набор уязвимостей в некоторых из наиболее распространенных протоколов MPC, которые позволяют злоумышленнику получить закрытый ключ с одного устройства. Читать дальше → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Огнеблоки (@FireblocksHQ) 9 августа 2023
Исследователи назвали это открытие «BitForge», описав набор уязвимостей нулевого дня как то, что позволило бы эксплуататору эксфильтровать закрытые ключи пользователя из-за отсутствия доказательства нулевого разглашения в протоколах MPC GG-18 и ГГ-20.
Между тем, уязвимость, затрагивающая протокол Lindell 17, была результатом того, что поставщики кошельков отошли от спецификаций, изложенных в научной статье, что создало лазейку для злоумышленников, позволяющую раскрыть часть закрытого ключа в случае сбоя подписи.
«Уязвимость обеспечивает полное извлечение закрытого ключа, что позволяет злоумышленникам украсть все средства из криптокошелька». отметил, исследователи Fireblocks.
Термин «нулевой день» относится к ранее необнаруженным уязвимостям, которые у разработчиков, по сути, есть нулевые дни для исправления.
Эти уязвимости затрагивают более 15 поставщиков кошельков цифровых активов, блокчейнов и других проектов, которые полагаются на эти протоколы MPC, включая Coinbase, ZenGo и Binance. С тех пор эти фирмы решили проблемы, связанные с BitForge, после того, как Fireblocks представила им свои задокументированные выводы.
«Именно так выглядит проактивное сотрудничество в области безопасности. Проблема была оперативно решена, и никакие средства пользователей не пострадали», — сказал Таль Беэри, главный технический директор ZenGo.
Coinbase также признанный В раскрытии Fireblocks отмечается, что, хотя проблема не затронула потребительский продукт Coinbase Wallet, в предыдущих версиях решения Wallet as a Service использовались некоторые из рассматриваемых библиотек.
2/ В мае Coinbase немедленно выпустила обновленные библиотеки для улучшения обработки ошибок, несмотря на отсутствие возможности эксплуатации. Это часть нашего обязательства постоянно улучшать и поддерживать самые высокие стандарты безопасности.
— Облако Coinbase 🛡️ (@CoinbaseCloud) 9 августа 2023
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/
- :имеет
- :является
- :нет
- 10
- 11
- 15%
- 17
- 2023
- 31
- 32
- 500
- 9
- a
- академический
- принял
- влиять на
- затрагивающий
- После
- Все
- позволять
- Позволяющий
- an
- и
- AS
- активы
- At
- Август
- прочь
- задняя дверь
- binance
- блокчейны
- by
- главный
- Главный технический директор
- облако
- coinbase
- Coinbase Wallet
- сотрудничество
- обязательство
- вычисление
- потребитель
- непрерывно
- создали
- крипто-
- Крипто-инфраструктура
- Крипто кошелек
- Дней
- Несмотря на
- застройщиков
- устройство
- Интернет
- Цифровой актив
- Раскрывает
- раскрытие
- открытие
- дублированный
- два
- включен
- позволяет
- ошибка
- по существу
- точно,
- не удается
- результаты
- ПОЖАРНЫЕ БЛОКИ
- Фирма
- Компаний
- фиксированный
- Что касается
- от
- полный
- средства
- Управляемость
- Есть
- наивысший
- HTTPS
- немедленно
- влияние
- воздействуя
- улучшать
- in
- В том числе
- Инфраструктура
- вопрос
- вопросы
- ЕГО
- Основные
- ключи
- Отсутствие
- библиотеки
- такое как
- ВЗГЛЯДЫ
- поддерживать
- основной
- макс-ширина
- Май..
- отсутствующий
- БОЛЕЕ
- самых
- перемещение
- MPC
- многопартийность
- нет
- отметив,
- of
- сотрудник
- on
- Другое
- наши
- внешний
- бумага & картон
- часть
- относящиеся
- Фото
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- размещены
- представлены
- предыдущий
- предварительно
- частная
- Секретный ключ
- Частные ключи
- Проактивная
- Продукт
- проектов
- доказательство
- протокол
- протоколы
- поставщики
- вопрос
- Читать
- назвало
- понимается
- выпустил
- полагаться
- исследованиям
- исследователи
- решен
- результат
- Сказал
- сообщили
- безопасность
- обслуживание
- набор
- подписание
- с
- одинарной
- Решение
- некоторые
- удалось
- спецификации
- стандартов
- команда
- Технологии
- срок
- чем
- который
- Ассоциация
- Их
- Эти
- они
- этой
- в
- правда
- непокрытый
- нераскрытый
- Unsplash
- обновление
- используемый
- Информация о пользователе
- средства пользователя
- версии
- Уязвимости
- уязвимость
- Кошелек
- законопроект
- были
- Что
- когда
- который
- в то время как
- широко
- бы
- зефирнет
- нуль
- уязвимости нулевого дня
- с нулевым знанием
- доказательство отсутствия знаний