Fireblocks révèle des vulnérabilités « Zero Day » affectant les principaux portefeuilles MPC

Fireblocks, une société d'infrastructure Crypto axée sur les entreprises, a révélé un ensemble de vulnérabilités - collectivement appelées « BitForge » - affectant une variété de portefeuilles Crypto populaires qui utilisent Technologies de calcul multipartite (MPC).

L'entreprise a classé BitForge comme un « zero-day » – ce qui signifie que les vulnérabilités n'avaient T été découvertes par les développeurs du logiciel concerné avant la Déclaration de transparence par Fireblocks.

Coinbase, ZenGo et Binance – trois des plus grandes entreprises impactées par BitForge – ont déjà collaboré avec Fireblocks pour atténuer leur exposition à des exploits potentiels, selon l'entreprise. Fireblocks indique avoir identifié d'autres équipes potentiellement impactées et les avoir contactées conformément au « processus de Déclaration de transparence responsable de 90 jours, standard du secteur ».

Même si les vulnérabilités particulières ont pu être corrigées dans les principaux portefeuilles, l'épisode soulève des questions potentiellement alarmantes sur la sécurité réelle de ces portefeuilles MPC soi-disant ultra-sûrs.

« Si elles ne sont pas corrigées, les expositions permettraient aux attaquants et aux initiés malveillants de drainer les fonds des portefeuilles de millions de clients particuliers et institutionnels en quelques secondes, sans que l'utilisateur ou le vendeur n'en ait connaissance », a déclaré Fireblocks dans un communiqué partagé avec CoinDesk.

Bien que Fireblocks affirme que les attaques exploitant ces vulnérabilités auraient été « pratiques », l'entreprise estime que leur complexité les rendait difficiles à détecter avant la Déclaration de transparence de mercredi. « La probabilité que quelqu'un – un acteur malveillant venu, par exemple, de Corée du Nord – l'ait découvert des mois avant que nous ne le découvrions et le divulguions aux fournisseurs de portefeuilles – est, je dirais, très, très faible », a déclaré Michael Shaulov, PDG de Fireblocks, à CoinDesk.

Si les utilisateurs du portefeuille MPC veulent savoir s'ils utilisent peut-être un portefeuille vulnérable, Shaulov a déclaré qu'ils peuvent contacter Fireblocks ou remplir un formulaire qui sera publié sur son site Web.

Calcul multipartite

Dans le contexte des portefeuilles Crypto , « la Technologies MPC a été principalement conçue pour garantir qu'il n'y ait T de point de défaillance unique : une clé privée ne se trouve pas sur un seul serveur ou sur un seul appareil », a expliqué Shaurov.

Les portefeuilles utilisant MPC chiffrent la clé privée d'un utilisateur et la répartissent entre plusieurs parties, généralement un utilisateur, un fournisseur et un tiers de confiance. En théorie, ONE de ces entités ne peut déverrouiller le portefeuille sans l'aide des autres.

Selon Fireblocks, les vulnérabilités de BitForge auraient « permis à un pirate d'extraire la clé privée complète s'il était capable de compromettre un ONE appareil », sapant ainsi tout l'aspect « multipartite » de MPC.

Comment cela a fonctionné

Fireblocks a décrit les détails techniques des vulnérabilités de BitForge dans une série de rapports techniques publiés mercredi.

En règle générale, pour qu'un attaquant puisse exploiter les vulnérabilités de BitForge, il doit compromettre l'appareil d'un utilisateur de portefeuille ou pénétrer dans les systèmes internes de quelqu'un d'autre avec un morceau de la clé privée cryptée de l'utilisateur - soit le service de portefeuille, soit ONEun de ces dépositaires tiers.

Les étapes à suivre dépendent du portefeuille. Les vulnérabilités de BitForge ont été identifiées dans plusieurs articles de recherche populaires décrivant la création de systèmes MPC, et les différents fournisseurs de portefeuilles ont mis en œuvre ces recherches différemment.

Coinbase affirme que son principal service de portefeuille destiné aux utilisateurs, Coinbase Wallet, n'a pas été affecté par les bugs, tandis que Coinbase Wallet-as-a-Service (WaaS) - que les entreprises peuvent utiliser pour alimenter leurs propres portefeuilles MPC - était techniquement vulnérable avant que Coinbase ne mette en œuvre un correctif.

Selon Coinbase, les vulnérabilités découvertes par Fireblocks auraient été « presque impossibles à exploiter » dans son cas – nécessitant un « serveur malveillant au sein de l'infrastructure Coinbase » pour inciter les utilisateurs à « lancer des centaines de demandes de signature entièrement authentifiées ».

« Il est extrêmement improbable qu’un client soit prêt à passer par ce processus fastidieux et manuel des centaines de fois avant de nous contacter pour obtenir de l’aide », a déclaré Coinbase.