Fireblocks розкриває вразливості 15 основних постачальників крипто-гаманців

Набір уразливостей, який отримав назву «BitForge», дозволить зловмиснику отримати приватний ключ з одного пристрою.

Команда дослідників із фірми криптоінфраструктури Fireblocks оприлюднила низку вразливостей, які, за їхніми словами, впливають на деякі з найпоширеніших постачальників технологій багатосторонніх обчислень (MPC).

1/ Дослідницька група Fireblocks виявила BitForge, набір уразливостей у деяких із найбільш поширених протоколів MPC, які дозволяють зловмиснику отримати приватний ключ з одного пристрою. Читати далі → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) Серпень 9, 2023

Дослідники назвали це відкриття «BitForge», описуючи набір уразливостей нульового дня як щось, що дозволило б експлуататору викрасти приватні ключі користувача через відсутність підтвердження нульового знання в протоколах MPC GG-18 і GG-20.

Тим часом уразливість, яка впливає на протокол Lindell 17, була результатом того, що постачальники гаманців відійшли від специфікацій, викладених в академічній роботі, що створило бекдор для зловмисників, щоб відкрити частину приватного ключа, коли підписати не вдалося.

«Ця уразливість дозволяє повністю витягти закритий ключ, дозволяючи зловмисникам викрасти всі кошти з криптогаманця», зазначив, дослідники Fireblocks.

Термін «нульовий день» відноситься до раніше невиявлених уразливостей, для усунення яких розробники фактично мають нульовий день.

Ці вразливості впливають на понад 15 постачальників гаманців цифрових активів, блокчейни та інші проекти, які покладаються на ці протоколи MPC, включаючи Coinbase, ZenGo і Binance. Відтоді ці фірми вирішили проблеми, пов’язані з BitForge, після того як Fireblocks представила їм свої задокументовані висновки.

«Саме так виглядає проактивна співпраця в галузі безпеки. Проблему було негайно вирішено, і кошти користувачів не постраждали», — сказав Тал Бе'ері, головний технічний директор ZenGo.

Coinbase також визнаний Fireblocks розкриває інформацію, зазначаючи, що хоча споживчий продукт Coinbase Wallet не постраждав від цієї проблеми, попередні версії рішення Wallet as a Service використовували деякі бібліотеки, про які йдеться.

2/ Coinbase негайно випустила оновлені бібліотеки в травні для покращення обробки помилок, незважаючи на відсутність можливості використання. Це частина нашого зобов’язання постійно вдосконалювати та підтримувати найвищі стандарти безпеки.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) Серпень 9, 2023