Fireblocks раскрывает уязвимости ‘нулевого дня’, затрагивающие ведущие кошельки MPC
Fireblocks обнаружил уязвимости 'нулевого дня' ведущих кошельков MPC
Fireblocks, компания, специализирующаяся на криптоинфраструктуре для предприятий, раскрыла ряд уязвимостей, известных как «BitForge», которые затрагивают множество популярных криптокошельков, использующих технологию многопартийных вычислений (MPC).
Компания классифицировала BitForge как «нулевой день», что означает, что уязвимости не были обнаружены разработчиками затронутого программного обеспечения до раскрытия информации со стороны Fireblocks.
Как утверждает компания, уже три крупнейшие компании, пострадавшие от BitForge – Coinbase, ZenGo и Binance – сотрудничали с Fireblocks для устранения угрозы потенциального злоупотребления. Fireblocks также заявляет, что идентифицировала другие команды, которые могут быть затронуты, и связалась с ними в соответствии с «стандартным отраслевым процессом ответственного раскрытия в течение 90 дней».
Несмотря на то, что уязвимости могут быть устранены в основных криптокошельках, этот случай вызывает потенциально тревожные вопросы о том, насколько безопасны этими считаются MPC-кошельки, которые предполагается быть ультрабезопасными.
- Ранние базовые ‘киты’ испытывают привязанность к мем-токенам, говорит Nansen.
- Долгая хитрость CoinsPaid говорит, что системы находились под атакой в течение шести месяцев
- Адвокат Илона Маска подает второе ходатайство о прекращении коллективного иска против Dogecoin.
«Если уязвимости не будут устранены, злоумышленники и вредоносные пользователи смогут за секунды вынуть средства из кошельков миллионов розничных и институциональных клиентов, не обнаруживая этого ни пользователю, ни поставщику», – заявил Fireblocks в сообщении, переданном CoinDesk.
Fireblocks отмечает, что атаки, использующие уязвимости, были бы «практическими», но их сложность затрудняла их обнаружение до раскрытия информации в среду. Генеральный директор Fireblocks Майкл Шаулов сказал CoinDesk: «Вероятность того, что кто-то – злонамеренный актер из, скажем, Северной Кореи – обнаружил это задолго до нас и раскрыл информацию поставщикам кошельков, я бы сказал, крайне, крайне, крайне низка».
Пользователи MPC-кошельков, желающие узнать, используют ли они уязвимый кошелек, могут обратиться к Fireblocks или заполнить форму, которая будет размещена на их веб-сайте.
Многопартийные вычисления
В контексте криптокошельков технология MPC была разработана прежде всего для того, чтобы убедиться, что у вас нет единой точки отказа – приватный ключ не хранится на одном сервере или на одном устройстве, – объясняет Шауров.
Кошельки, использующие MPC, шифруют приватный ключ пользователя и разделяют его между несколькими сторонами – обычно это комбинация пользователя кошелька, провайдера кошелька и доверенной третьей стороны. В теории ни одна из этих сторон не может разблокировать кошелек без помощи других.
По словам Fireblocks, уязвимости BitForge позволяли бы «хакеру извлечь полный приватный ключ, если ему удалось скомпрометировать только одно устройство», что подрывает всю «многопартийность» MPC.
Как это работало
Fireblocks описывает технические детали уязвимостей BitForge в наборе технических отчетов, опубликованных в среду.
В целом, для того, чтобы использовать уязвимости BitForge, злоумышленнику нужно было бы скомпрометировать устройство пользователя кошелька или взломать внутренние системы кого-то другого с частью зашифрованного приватного ключа пользователя – либо службу кошелька, либо одного из этих сторонних хранителей.
Дальнейшие шаги зависели бы от кошелька. Уязвимости BitForge были присутствуют в нескольких популярных научных статьях, описывающих, как построить системы MPC, и разные провайдеры кошельков реализовали эту научную работу по-разному.
Компания Coinbase заявила, что ее основной кошелек для пользователей, Coinbase Wallet, не пострадал от этих ошибок, тогда как Coinbase Wallet-as-a-Service (WaaS), который компании могут использовать для создания своих собственных MPC-кошельков, технически был уязвим до внедрения исправлений.
По словам Coinbase, уязвимости, обнаруженные Fireblocks, были «практически невозможны к эксплуатации» в их случае и требовали «злонамеренного сервера внутри инфраструктуры Coinbase», чтобы обмануть пользователей и «инициировать сотни полностью аутентифицированных запросов на подпись».
«Крайне маловероятно, что какой-либо клиент будет готов пройти через трудоемкий и ручной процесс сотни раз, прежде чем обратиться к нам за поддержкой», – говорится в заявлении Coinbase.
We will continue to update BiLee; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
- Сотрудничество Aptos Labs с Microsoft привело к росту APT на 17%.
- Кардано (ADA) следующий в очереди на ралли после покупательского ажиотажа акул и китов
- Что произойдет с доходностью стейкинга Ethereum?
- 13 банков примут участие в пилотной программе ЦБЦР России
- Фонд Venom сотрудничает с правительством ОАЭ для запуска национальной системы углеродных кредитов
- Представляем TON Space – самостоятельный кошелек в Telegram, доступный разработчикам сейчас.
- Последний день регистрации на предварительную продажу монеты Cowabunga – окунитесь в мир, наполненный пиццей, ниндзя-черепашек сейчас