Fireblocks avslöjar sårbarheter som påverkar 15 stora leverantörer av kryptoplånböcker

Uppsättningen av sårbarheter, kallad "BitForge", skulle tillåta en angripare att hämta en privat nyckel från en enda enhet.

Ett team av forskare vid kryptoinfrastrukturföretaget Fireblocks har avslöjat en uppsättning sårbarheter som de säger påverkar några av de mest använda multi-party computation (MPC) teknikleverantörerna.

1/ Fireblocks forskningsteam har avslöjat BitForge, en uppsättning sårbarheter i några av de mest använda MPC-protokollen, som tillåter en angripare att hämta en privat nyckel från en enda enhet. Läs vidare → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) Augusti 9, 2023

Forskarna hänvisade till upptäckten som "BitForge", och beskrev uppsättningen av nolldagssårbarheter som något som skulle ha gjort det möjligt för en exploatör att exfiltrera en användares privata nycklar på grund av ett saknat nollkunskapsbevis i MPC-protokollen GG-18 och GG-20.

Samtidigt var sårbarheten som påverkade Lindell 17-protokollet ett resultat av att plånboksleverantörer flyttade bort från specifikationer som anges i den akademiska uppsatsen, vilket skapade en bakdörr för angripare att avslöja en del av den privata nyckeln när signering misslyckas.

"Sårbarheten möjliggör fullständig utvinning av privata nycklar, vilket gör att angripare kan stjäla alla pengar från kryptoplånboken," noterade Fireblocks-forskarna.

Termen "zero-day" syftar på tidigare oupptäckta sårbarheter, som utvecklare i princip har noll dagar på sig att fixa.

Dessa sårbarheter påverkar mer än 15 leverantörer av digitala tillgångsplånböcker, blockkedjor och andra projekt som förlitar sig på dessa MPC-protokoll, inklusive Coinbase, ZenGo och Binance. Dessa företag har sedan dess löst problemen med BitForge efter att Fireblocks presenterade sina dokumenterade resultat för dem.

”Det är precis så det proaktiva säkerhetssamarbetet ser ut. Problemet åtgärdades omedelbart och inga användarmedel påverkades”, säger Tal Be'ery, teknisk chef på ZenGo.

Coinbase också medgav Fireblocks avslöjande, som noterar att även om dess Coinbase Wallet-konsumentprodukt inte påverkades av problemet, använde tidigare versioner av dess Wallet as a Service-lösning några av de aktuella biblioteken.

2/ Coinbase släppte omedelbart uppdaterade bibliotek i maj för att förbättra felhanteringen, trots bristen på exploatering. Detta är en del av vårt åtagande att kontinuerligt förbättra och upprätthålla de högsta säkerhetsstandarderna.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) Augusti 9, 2023