Fireblocks раскрывает уязвимости, затрагивающие 15 основных поставщиков криптокошельков

Переиздано Платоном

Читают: 0

Набор уязвимостей, получивший название BitForge, позволит злоумышленнику получить закрытый ключ с одного устройства.

Fireblocks раскрывает уязвимости, затрагивающие 15 основных поставщиков криптокошельков PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.

Фото Чарльза Делувио на Unsplash

Опубликовано 9 августа 2023 г., 11:47 по восточному поясному времени.

Группа исследователей из компании Fireblocks, специализирующейся на криптоинфраструктуре, раскрыла ряд уязвимостей, которые, по их словам, затрагивают некоторых из наиболее широко распространенных поставщиков технологий многосторонних вычислений (MPC).

1/ Исследовательская группа Fireblocks обнаружила BitForge, набор уязвимостей в некоторых из наиболее распространенных протоколов MPC, которые позволяют злоумышленнику получить закрытый ключ с одного устройства. Читать дальше → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Огнеблоки (@FireblocksHQ) 9 августа 2023

Исследователи назвали это открытие «BitForge», описав набор уязвимостей нулевого дня как то, что позволило бы эксплуататору эксфильтровать закрытые ключи пользователя из-за отсутствия доказательства нулевого разглашения в протоколах MPC GG-18 и ГГ-20.

Между тем, уязвимость, затрагивающая протокол Lindell 17, была результатом того, что поставщики кошельков отошли от спецификаций, изложенных в научной статье, что создало лазейку для злоумышленников, позволяющую раскрыть часть закрытого ключа в случае сбоя подписи.

«Уязвимость обеспечивает полное извлечение закрытого ключа, что позволяет злоумышленникам украсть все средства из криптокошелька». отметил, исследователи Fireblocks.

Термин «нулевой день» относится к ранее необнаруженным уязвимостям, которые у разработчиков, по сути, есть нулевые дни для исправления.

Эти уязвимости затрагивают более 15 поставщиков кошельков цифровых активов, блокчейнов и других проектов, которые полагаются на эти протоколы MPC, включая Coinbase, ZenGo и Binance. С тех пор эти фирмы решили проблемы, связанные с BitForge, после того, как Fireblocks представила им свои задокументированные выводы.

«Именно так выглядит проактивное сотрудничество в области безопасности. Проблема была оперативно решена, и никакие средства пользователей не пострадали», — сказал Таль Беэри, главный технический директор ZenGo.

Coinbase также признанный В раскрытии Fireblocks отмечается, что, хотя проблема не затронула потребительский продукт Coinbase Wallet, в предыдущих версиях решения Wallet as a Service использовались некоторые из рассматриваемых библиотек.

2/ В мае Coinbase немедленно выпустила обновленные библиотеки для улучшения обработки ошибок, несмотря на отсутствие возможности эксплуатации. Это часть нашего обязательства постоянно улучшать и поддерживать самые высокие стандарты безопасности.

— Облако Coinbase 🛡️ (@CoinbaseCloud) 9 августа 2023