Fireblocks divulga vulnerabilidades de ‘Dia Zero’ que impactam as principais carteiras MPC

A Fireblocks, uma empresa de infraestrutura de Cripto focada em empresas, divulgou um conjunto de vulnerabilidades – coletivamente chamadas de “BitForge” – que afetam uma variedade de carteiras de Cripto populares que usam Tecnologia de computação multipartidária (MPC).

A empresa classificou o BitForge como um “dia zero” – o que significa que as vulnerabilidades T foram descobertas pelos desenvolvedores do software afetado antes da Aviso Importante do Fireblocks.

Coinbase, ZenGo e Binance – três das maiores empresas impactadas pela BitForge – já trabalharam com a Fireblocks para remediar sua exposição a potenciais explorações, de acordo com a empresa. A Fireblocks diz que trabalhou para identificar outras equipes que podem ser impactadas e as contatou de acordo com o “processo de Aviso Importante responsável de 90 dias padrão da indústria”.

Embora vulnerabilidades específicas possam ter sido corrigidas em grandes carteiras, o episódio levanta questões potencialmente alarmantes sobre o quão seguras essas carteiras MPC supostamente ultraseguras realmente são.

“Se não forem corrigidas, as exposições permitiriam que invasores e pessoas mal-intencionadas drenassem fundos das carteiras de milhões de clientes de varejo e institucionais em segundos, sem o conhecimento do usuário ou fornecedor”, disse a Fireblocks em uma declaração compartilhada com a CoinDesk.

Enquanto a Fireblocks diz que ataques explorando as vulnerabilidades teriam sido "práticos", a empresa acredita que sua complexidade os tornou difíceis de descobrir antes da Aviso Importante de quarta-feira. "As chances de que alguém — algum ator malicioso, digamos, da Coreia do Norte tenha descoberto meses antes de nós descobrirmos e divulgarmos para provedores de carteira — eu diria que a probabilidade disso é muito, muito, muito baixa", disse o CEO da Fireblocks, Michael Shaulov, à CoinDesk.

Se os usuários da carteira MPC quiserem saber se estão usando uma carteira vulnerável, Shaulov disse que eles podem entrar em contato com a Fireblocks ou preencher um formulário que será publicado em seu site.

Computação multipartidária

No contexto de carteiras de Cripto , “ a Tecnologia MPC foi projetada principalmente para garantir que você T tenha um único ponto de falha – uma chave privada não esteja em um único servidor ou em um único dispositivo”, explicou Shaurov.

Carteiras que usam MPC criptografam a chave privada de um usuário e a dividem entre várias partes diferentes – normalmente alguma combinação de um usuário de carteira, um provedor de carteira e um terceiro confiável. Em teoria, ONE dessas entidades pode desbloquear a carteira sem a ajuda das outras.

De acordo com o Fireblocks, as vulnerabilidades do BitForge teriam “permitido que um hacker extraísse a chave privada completa se conseguisse comprometer apenas um dispositivo”, minando todo o aspecto “multipartidário” do MPC.

Como funcionou

O Fireblocks descreveu detalhes técnicos das vulnerabilidades do BitForge em um conjunto de relatórios técnicos divulgados na quarta-feira.

Geralmente, para um invasor tirar proveito das vulnerabilidades do BitForge, ele precisa comprometer o dispositivo de um usuário de carteira ou invadir os sistemas internos de outra pessoa com uma parte da chave privada criptografada do usuário — seja o serviço de carteira ou um desses custodiantes terceirizados.

Os passos a partir daí dependeriam da carteira. As vulnerabilidades do BitForge estavam presentes em vários artigos de pesquisa populares que descrevem como construir sistemas MPC, e diferentes provedores de carteiras terão implementado essa pesquisa de forma diferente.

A Coinbase afirma que seu principal serviço de carteira voltado para o usuário, a Coinbase Wallet, não foi afetada pelos bugs, enquanto a Coinbase Wallet-as-a-Service (WaaS) — que as empresas podem usar para alimentar suas próprias carteiras MPC — era tecnicamente vulnerável antes da Coinbase implementar uma correção.

De acordo com a Coinbase, as vulnerabilidades descobertas pelo Fireblocks teriam sido “quase impossíveis de explorar” em seu caso – exigindo um “servidor malicioso dentro da infraestrutura da Coinbase” para enganar os usuários a “iniciar centenas de solicitações de assinatura totalmente autenticadas”.

“É extremamente improvável que qualquer cliente esteja disposto a passar por esse processo tedioso e manual centenas de vezes antes de entrar em contato conosco para obter suporte”, disse a Coinbase.