Fireblocks розкриває вразливості «нульового дня», що впливають на провідні гаманці MPC

Fireblocks, фірма, орієнтована на корпоративну Крипто , оприлюднила низку вразливостей, які разом називаються «BitForge», що впливають на різноманітні популярні Крипто , які використовують Технології багатосторонніх обчислень (MPC)..

Фірма класифікувала BitForge як «нульовий день» — це означає, що уразливості T були виявлені розробниками ураженого програмного забезпечення до Повідомлення Fireblocks.

Згідно з даними фірми, Coinbase, ZenGo та Binance – три найбільші компанії, які постраждали від BitForge – уже працювали з Fireblocks, щоб усунути ризик потенційних експлойтів. Fireblocks каже, що працювала над виявленням інших команд, які можуть постраждати, і зв’язалася з ними відповідно до «галузевого стандарту 90-денного процесу відповідального Повідомлення ».

Незважаючи на те, що певні уразливості могли бути виправлені в основних гаманцях, цей епізод викликає потенційно тривожні запитання щодо того, наскільки безпечними насправді є ці нібито надбезпечні гаманці MPC.

«Якщо не усунути викриття, це дозволить зловмисникам і зловмисникам за лічені секунди витягти кошти з гаманців мільйонів роздрібних і інституційних клієнтів, не знаючи ні користувача, ні постачальника», — йдеться в заяві Fireblocks, надісланій CoinDesk.

У той час як Fireblocks каже, що атаки з використанням уразливостей були б «практичними», фірма вважає, що через їхню складність їх важко виявити до Повідомлення в середу. «Я б сказав, що ймовірність того, що хтось – якийсь зловмисник, скажімо, з Північної Кореї, з’ясував це за кілька місяців до того, як ми це з’ясували та розкрили про це постачальникам гаманців – дуже, дуже, дуже низька», – сказав генеральний директор Fireblocks Майкл Шаулов CoinDesk.

Якщо користувачі гаманця MPC хочуть знати, чи можуть вони використовувати вразливий гаманець, Шаулов сказав, що вони можуть зв’язатися з Fireblocks або заповнити форму, яка буде опублікована на його веб-сайті.

Багатостороннє обчислення

У контексті Крипто -гаманців « Технології MPC була в першу чергу розроблена для того, щоб переконатися, що у вас T єдиної точки відмови – приватний ключ не знаходиться на одному сервері чи на одному пристрої», – пояснив Шауров.

Гаманці, які використовують MPC, шифрують особистий ключ користувача та розподіляють його між кількома різними сторонами – як правило, певною комбінацією користувача гаманця, постачальника гаманця та довіреної третьої сторони. Теоретично ONE з цих сутностей не може розблокувати гаманець без допомоги інших.

Відповідно до Fireblocks, уразливості BitForge «дозволили б хакеру отримати повний приватний ключ, якби вони змогли скомпрометувати лише ONE пристрій», підриваючи весь «багатосторонній» аспект MPC.

Як це працювало

Fireblocks виклали технічні деталі вразливостей BitForge у наборі технічних звітів, опублікованих у середу.

Як правило, щоб зловмисник скористався вразливістю BitForge, йому потрібно було б скомпрометувати пристрій користувача гаманця або зламати внутрішні системи когось іншого за допомогою частини зашифрованого приватного ключа користувача – служби гаманця або ONE з цих сторонніх зберігачів.

Подальші кроки залежатимуть від гаманця. Уразливості BitForge були присутні в кількох популярних дослідницьких роботах, які описують, як створювати системи MPC, і різні постачальники гаманців проводили ці дослідження по-різному.

Coinbase каже, що її головний сервіс гаманців, орієнтований на користувачів, Coinbase Wallet, не постраждав від помилок, тоді як Coinbase Wallet-as-a-Service (WaaS), який компанії можуть використовувати для забезпечення своїх власних гаманців MPC, був технічно вразливим до того, як Coinbase реалізувала виправлення.

Згідно з Coinbase, уразливості, виявлені Fireblocks, було б «майже неможливо використати» в цьому випадку – вимагав «зловмисного сервера всередині інфраструктури Coinbase», щоб обманом змусити користувачів «ініціювати сотні запитів на підпис з повною автентифікацією».

«Надзвичайно малоймовірно, що будь-який клієнт захоче проходити через цей виснажливий і ручний процес сотні разів, перш ніж зв’язатися з нами за підтримкою», — заявили в Coinbase.