DeFi
BitGo исправляет критическую уязвимость, впервые обнаруженную Fireblocks

BitGo исправляет критическую уязвимость, впервые обнаруженную Fireblocks

BitGo исправляет критическую уязвимость, впервые обнаруженную Fireblocks

Криптовалютный кошелек BitGo исправил критическую уязвимость, которая могла раскрыть закрытые ключи розничных и институциональных пользователей.

Исследовательская группа по криптовалюте Fireblocks обнаружила недостаток и уведомила команду BitGo в декабре 2022 года. Уязвимость была связана с кошельками BitGo Threshold Signature Scheme (TSS) и могла раскрыть закрытые ключи бирж, банков, предприятий и пользователей платформы.

Команда Fireblocks назвала уязвимость BitGo Zero Proof Vulnerability, которая позволяет потенциальным злоумышленникам извлечь закрытый ключ менее чем за минуту, используя небольшой объем кода на JavaScript. BitGo приостановила работу уязвимой службы 10 декабря и выпустила исправление в феврале 2023 года, которое требовало обновления на стороне клиента до последней версии к 17 марта.

Команда Fireblocks рассказала, как она идентифицировала эксплойт, используя бесплатную учетную запись BitGo в основной сети. Отсутствующая часть обязательных доказательств с нулевым разглашением в протоколе кошелька BitGo ECDSA TSS позволила команде раскрыть закрытый ключ с помощью простой атаки.

Стандартные для отрасли платформы криптовалютных активов корпоративного уровня используют либо многосторонние вычисления (MPC/TSS), либо технологию мультиподписей, чтобы исключить возможность атаки из одной точки. Это делается путем распределения закрытого ключа между несколькими сторонами, чтобы обеспечить контроль безопасности, если одна из сторон скомпрометирована.

Fireblocks удалось доказать, что внутренние или внешние злоумышленники могут получить доступ к полному секретному ключу двумя возможными способами.

Скомпрометированный пользователь на стороне клиента может инициировать транзакцию для получения части закрытого ключа, хранящегося в системе BitGo. Затем BitGo выполнит вычисление подписи, прежде чем делиться информацией, из-за которой происходит утечка осколка ключа BitGo.

«Злоумышленник теперь может восстановить полный закрытый ключ, загрузить его во внешний кошелек и вывести средства сразу или позже», – говорится в сообщении Fireblocks.

Второй сценарий рассматривал атаку, если BitGo был скомпрометирован. Злоумышленник будет ждать, пока клиент инициирует транзакцию, прежде чем ответить вредоносным значением. Затем он используется для подписания транзакции частью ключа клиента. Злоумышленник может использовать ответ, чтобы раскрыть чать ключа пользователя, прежде чем объединить его с частью ключа BitGo, чтобы получить контроль над кошельком.

Fireblocks отметил, что по указанному вектору не было проведено никаких атак, но предупредил пользователей, чтобы они рассмотрели возможность создания новых кошельков и перемещения средств из кошельков ECDSA TSS BitGo до установки патча.

В последние годы взлом кошельков стал обычным явлением в криптовалютной индустрии. В августе 2022 года из более чем 7000 кошельков Slope на блокчейне Solana (SOL) было украдено более 8 миллионов долларов. Служба сетевого кошелька Algorand MyAlgo также подверглась взлому, в результате которого из различных известных кошельков было украдено более 9 миллионов долларов.

BitGo исправляет критическую уязвимость, впервые обнаруженную Fireblocks

BitGo исправляет критическую уязвимость, впервые обнаруженную Fireblocks

Источник

Добавить комментарий