Fireblocks раскрывает уязвимости «нулевого дня», влияющие на ведущие кошельки MPC

Компания Fireblocks, занимающаяся корпоративной Криптo , раскрыла ряд уязвимостей, известных под общим названием «BitForge», которые затрагивают ряд популярных Криптo , использующих Технологии многосторонних вычислений (MPC).

Компания классифицировала BitForge как уязвимость «нулевого дня», то есть уязвимости T были обнаружены разработчиками затронутого программного обеспечения до Раскрытие информации информации Fireblocks.

Coinbase, ZenGo и Binance — три крупнейшие компании, пострадавшие от BitForge, — уже работали с Fireblocks, чтобы устранить свою уязвимость к потенциальным эксплойтам, согласно фирме. Fireblocks заявляет, что работала над выявлением других команд, которые могут быть затронуты, и связалась с ними в соответствии с «отраслевым стандартом 90-дневного процесса ответственного Раскрытие информации ».

Несмотря на то, что конкретные уязвимости, возможно, были устранены в основных кошельках, этот эпизод поднимает потенциально тревожные вопросы о том, насколько на самом деле безопасны эти якобы сверхбезопасные кошельки MPC.

«Если не устранить уязвимости, злоумышленники и инсайдеры-злоумышленники смогут за считанные секунды вывести средства из кошельков миллионов розничных и институциональных клиентов, причем об этом не будет знать ни пользователь, ни поставщик», — говорится в заявлении Fireblocks, переданном CoinDesk.

Хотя Fireblocks утверждает, что атаки, использующие уязвимости, были бы «практичными», фирма считает, что их сложность затрудняла их обнаружение до Раскрытие информации в среду. «Вероятность того, что кто-то — какой-то злоумышленник, скажем, из Северной Кореи, выяснил это за несколько месяцев до того, как это выяснили мы, и раскрыл это поставщикам кошельков, — я бы сказал, что вероятность этого очень, очень, очень мала», — сказал генеральный директор Fireblocks Майкл Шаулов CoinDesk.

Шаулов сообщил, что если пользователи кошелька MPC хотят узнать, используют ли они уязвимый кошелек, они могут обратиться в Fireblocks или заполнить форму, которая будет размещена на сайте компании.

Многопартийные вычисления

В контексте Криптo « Технологии MPC была в первую очередь разработана для того, чтобы гарантировать T единой точки отказа — закрытый ключ не должен находиться на одном сервере или на одном устройстве», — пояснил Шауров.

Кошельки, использующие MPC, шифруют закрытый ключ пользователя и разделяют его между несколькими различными сторонами – обычно это некоторая комбинация пользователя кошелька, поставщика кошелька и доверенной третьей стороны. Теоретически ни ONE из этих сторон не может разблокировать кошелек без помощи других.

По данным Fireblocks, уязвимости BitForge «позволили бы хакеру извлечь полный закрытый ключ, если бы ему удалось взломать только ONE устройство», что подорвало бы весь «многосторонний» аспект MPC.

Как это работало

Компания Fireblocks изложила технические подробности уязвимостей BitForge в ряде технических отчетов, опубликованных в среду.

Как правило, для того, чтобы злоумышленник мог воспользоваться уязвимостями BitForge, ему необходимо скомпрометировать устройство пользователя кошелька или проникнуть во внутренние системы кого-то другого с помощью части зашифрованного закрытого ключа пользователя — либо сервиса кошелька, либо ONE из сторонних хранителей.

Дальнейшие шаги будут зависеть от кошелька. Уязвимости BitForge были представлены в нескольких популярных исследовательских работах, описывающих, как создавать системы MPC, и разные поставщики кошельков реализовали это исследование по-разному.

Coinbase утверждает, что ее основной пользовательский сервис кошельков Coinbase Wallet не был затронут ошибками, в то время как Coinbase Wallet-as-a-Service (WaaS), который компании могут использовать для поддержки своих собственных кошельков MPC, был технически уязвим до того, как Coinbase внедрила исправление.

По данным Coinbase, уязвимости, обнаруженные Fireblocks, было бы «практически невозможно использовать» в данном случае — для этого потребовался бы «вредоносный сервер внутри инфраструктуры Coinbase», чтобы обманом заставить пользователей «инициировать сотни полностью аутентифицированных запросов на подпись».

«Крайне маловероятно, что какой-либо клиент захочет проходить этот утомительный и ручной процесс сотни раз, прежде чем обратиться к нам за поддержкой», — заявили в Coinbase.