Fireblocks раскрывает уязвимости ‘нулевого дня’, затрагивающие ведущие кошельки MPC

Fireblocks обнаружил уязвимости 'нулевого дня' ведущих кошельков MPC

Fireblocks, компания, специализирующаяся на криптоинфраструктуре для предприятий, раскрыла ряд уязвимостей, известных как «BitForge», которые затрагивают множество популярных криптокошельков, использующих технологию многопартийных вычислений (MPC).

Компания классифицировала BitForge как «нулевой день», что означает, что уязвимости не были обнаружены разработчиками затронутого программного обеспечения до раскрытия информации со стороны Fireblocks.

Как утверждает компания, уже три крупнейшие компании, пострадавшие от BitForge – Coinbase, ZenGo и Binance – сотрудничали с Fireblocks для устранения угрозы потенциального злоупотребления. Fireblocks также заявляет, что идентифицировала другие команды, которые могут быть затронуты, и связалась с ними в соответствии с «стандартным отраслевым процессом ответственного раскрытия в течение 90 дней».

Несмотря на то, что уязвимости могут быть устранены в основных криптокошельках, этот случай вызывает потенциально тревожные вопросы о том, насколько безопасны этими считаются MPC-кошельки, которые предполагается быть ультрабезопасными.

«Если уязвимости не будут устранены, злоумышленники и вредоносные пользователи смогут за секунды вынуть средства из кошельков миллионов розничных и институциональных клиентов, не обнаруживая этого ни пользователю, ни поставщику», – заявил Fireblocks в сообщении, переданном CoinDesk.

Fireblocks отмечает, что атаки, использующие уязвимости, были бы «практическими», но их сложность затрудняла их обнаружение до раскрытия информации в среду. Генеральный директор Fireblocks Майкл Шаулов сказал CoinDesk: «Вероятность того, что кто-то – злонамеренный актер из, скажем, Северной Кореи – обнаружил это задолго до нас и раскрыл информацию поставщикам кошельков, я бы сказал, крайне, крайне, крайне низка».

Пользователи MPC-кошельков, желающие узнать, используют ли они уязвимый кошелек, могут обратиться к Fireblocks или заполнить форму, которая будет размещена на их веб-сайте.

Многопартийные вычисления

В контексте криптокошельков технология MPC была разработана прежде всего для того, чтобы убедиться, что у вас нет единой точки отказа – приватный ключ не хранится на одном сервере или на одном устройстве, – объясняет Шауров.

Кошельки, использующие MPC, шифруют приватный ключ пользователя и разделяют его между несколькими сторонами – обычно это комбинация пользователя кошелька, провайдера кошелька и доверенной третьей стороны. В теории ни одна из этих сторон не может разблокировать кошелек без помощи других.

По словам Fireblocks, уязвимости BitForge позволяли бы «хакеру извлечь полный приватный ключ, если ему удалось скомпрометировать только одно устройство», что подрывает всю «многопартийность» MPC.

Как это работало

Fireblocks описывает технические детали уязвимостей BitForge в наборе технических отчетов, опубликованных в среду.

В целом, для того, чтобы использовать уязвимости BitForge, злоумышленнику нужно было бы скомпрометировать устройство пользователя кошелька или взломать внутренние системы кого-то другого с частью зашифрованного приватного ключа пользователя – либо службу кошелька, либо одного из этих сторонних хранителей.

Дальнейшие шаги зависели бы от кошелька. Уязвимости BitForge были присутствуют в нескольких популярных научных статьях, описывающих, как построить системы MPC, и разные провайдеры кошельков реализовали эту научную работу по-разному.

Компания Coinbase заявила, что ее основной кошелек для пользователей, Coinbase Wallet, не пострадал от этих ошибок, тогда как Coinbase Wallet-as-a-Service (WaaS), который компании могут использовать для создания своих собственных MPC-кошельков, технически был уязвим до внедрения исправлений.

По словам Coinbase, уязвимости, обнаруженные Fireblocks, были «практически невозможны к эксплуатации» в их случае и требовали «злонамеренного сервера внутри инфраструктуры Coinbase», чтобы обмануть пользователей и «инициировать сотни полностью аутентифицированных запросов на подпись».

«Крайне маловероятно, что какой-либо клиент будет готов пройти через трудоемкий и ручной процесс сотни раз, прежде чем обратиться к нам за поддержкой», – говорится в заявлении Coinbase.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

новости

Render Network переходит с блокчейна Ethereum на Solana в значительной победе – Что дальше для SOL?

Платформа визуализации 3D-контента Render Network переехала с блокчейна Ethereum на Solana для получения выгоды от вы...

DeFi

‘Сокращение сети Solana считается необходимым’ из-за низких комиссий, говорит Lido Finance

Lido прекратил принимать услуги стейкинга на Solana после того, как 92,7% из 70,1 миллиона токенов Lido DAO проголосо...

рынок

Paolo Ardoino из Tether раскрывает планы по отчетности о резервах в режиме реального времени - прозрачность приведет к новому бычьему рынку?

Tether Holdings, выпускающая самую крупную устойчивую монету в мире Tether (USDT), объявила о намерении предоставлят...

политика

ФСБ представляет предложения о более жестком глобальном криптовалютном регулировании

Финансовая стабильность (ФС) призывает к улучшению глобального регулирования цифровых активов с акцентом на активах п...

новости

Прогноз цены Solana, поскольку SOL рвется через сопротивление на уровне $47,50 – $100 SOL впереди?

Цена Solana (SOL), криптовалюты, управляющей высокопроизводительным протоколом блокчейна Solana, оснащенным смарт-кон...

новости

Starknet и zkSync нарушают тенденцию уменьшения разработчиков в крипто-экосистемах на 28%

Решения по масштабированию Ethereum Starknet и zkSync смогли увеличить количество разработчиков за последние 12 месяц...