Fireblocks rivela le vulnerabilità "zero day" che hanno un impatto sui principali portafogli MPC

Fireblocks, un'azienda di infrastrutture Cripto focalizzata sulle imprese, ha divulgato una serie di vulnerabilità, collettivamente denominate "BitForge", che hanno un impatto su una varietà di popolari portafogli Cripto che utilizzano Tecnologie di calcolo multi-partito (MPC).

L'azienda ha classificato BitForge come "zero-day", il che significa che le vulnerabilità T erano state scoperte dagli sviluppatori del software interessato prima della Dichiarazione informativa da parte di Fireblocks.

Coinbase, ZenGo e Binance, tre delle più grandi aziende colpite da BitForge, hanno già collaborato con Fireblocks per porre rimedio alla loro esposizione a potenziali exploit, secondo l'azienda. Fireblocks afferma di aver lavorato per identificare altri team che potrebbero essere colpiti e di averli contattati in conformità con il "processo Dichiarazione informativa responsabile di 90 giorni standard del settore".

Anche se le vulnerabilità specifiche potrebbero essere state corrette nei principali wallet, l'episodio solleva interrogativi potenzialmente allarmanti su quanto siano realmente sicuri questi wallet MPC, presumibilmente ultra-sicuri.

"Se non si interviene, le esposizioni consentirebbero ad aggressori e malintenzionati di drenare fondi dai portafogli di milioni di clienti al dettaglio e istituzionali in pochi secondi, senza che l'utente o il fornitore ne siano a conoscenza", ha affermato Fireblocks in una dichiarazione condivisa con CoinDesk.

Mentre Fireblocks afferma che gli attacchi che sfruttano le vulnerabilità sarebbero stati "pratici", l'azienda ritiene che la loro complessità li abbia resi difficili da scoprire prima della Dichiarazione informativa di mercoledì. "Le possibilità che qualcuno, un malintenzionato, diciamo, dalla Corea del Nord, l'abbia capito mesi prima che lo scoprissimo noi e lo rivelassimo ai provider di wallet, direi che la probabilità che ciò accada è molto, molto, molto bassa", ha detto a CoinDesk il CEO di Fireblocks Michael Shaulov.

Shaulov ha affermato che se gli utenti del portafoglio MPC vogliono sapere se stanno utilizzando un portafoglio vulnerabile possono contattare Fireblocks o compilare un modulo che verrà pubblicato sul suo sito web.

Calcolo multi-partitico

Nel contesto dei portafogli Cripto , " la Tecnologie MPC è stata progettata principalmente per garantire che T vi sia un singolo punto di errore: una chiave privata non si trova su un singolo server o su un singolo dispositivo", ha spiegato Shaurov.

I wallet che utilizzano MPC crittografano la chiave privata di un utente e la suddividono tra diverse parti, in genere una combinazione di un utente wallet, un provider wallet e una terza parte fidata. In teoria, ONE di queste entità può sbloccare il wallet senza l'aiuto delle altre.

Secondo Fireblocks, le vulnerabilità di BitForge avrebbero "consentito a un hacker di estrarre la chiave privata completa se fosse riuscito a compromettere ONE solo dispositivo", minando l'intero aspetto "multi-party" di MPC.

Come ha funzionato

Fireblocks ha delineato i dettagli tecnici delle vulnerabilità di BitForge in una serie di report tecnici pubblicati mercoledì.

In genere, affinché un aggressore possa sfruttare le vulnerabilità di BitForge, dovrebbe compromettere il dispositivo di un utente di portafoglio o accedere ai sistemi interni di qualcun altro con un frammento della chiave privata crittografata dell'utente, sia il servizio di portafoglio che ONE di questi depositari terzi.

I passaggi successivi dipenderebbero dal portafoglio. Le vulnerabilità di BitForge erano presenti in diversi documenti di ricerca popolari che descrivono come costruire sistemi MPC, e diversi provider di portafoglio avranno implementato questa ricerca in modo diverso.

Coinbase afferma che il suo principale servizio di portafoglio rivolto agli utenti, Coinbase Wallet, non è stato interessato dai bug, mentre Coinbase Wallet-as-a-Service (WaaS), che le aziende possono utilizzare per alimentare i propri portafogli MPC, era tecnicamente vulnerabile prima che Coinbase implementasse una correzione.

Secondo Coinbase, le vulnerabilità scoperte da Fireblocks sarebbero state "quasi impossibili da sfruttare" nel suo caso, richiedendo un "server dannoso all'interno dell'infrastruttura Coinbase" per indurre gli utenti ad "avviare centinaia di richieste di firma completamente autenticate".

"È estremamente improbabile che un cliente sia disposto a ripetere questo noioso e manuale processo centinaia di volte prima di contattarci per ricevere supporto", ha affermato Coinbase.