Компания Fireblocks раскрыла масштабную уязвимость, затрагивающую криптовалютные кошельки

По данным компании Fireblocks, более 15 широко используемых провайдеров и проектов криптокошельков имеют уязвимости, которые потенциально могут привести к опустошению миллионов криптокошельков.

В пресс-релизе от 9 августа компания Fireblocks сообщила, что серия уязвимостей, получившая название BitForge, затрагивает кошельки, использующие технологию многосторонних вычислений (MPC), которая позволяет нескольким сторонам контролировать и управлять криптовалютными активами.

1/ Исследовательская группа Fireblocks обнаружила BitForge - набор уязвимостей в некоторых наиболее распространенных MPC-протоколах, позволяющих злоумышленнику получить закрытый ключ с одного устройства. Читать дальше → https://t.co/xo2r9zgCvj pic.Twitter.com/7q1nEeVBwO

- Fireblocks (@FireblocksHQ) 9 августа 2023 г.

Выявленные проблемы были раскрыты как уязвимости "нулевого дня" - это означает, что дефекты ранее не были обнаружены в проектах.

"Если не принять меры по устранению этих уязвимостей, злоумышленники и злоумышленники-инсайдеры смогут за считанные секунды вывести средства из кошельков миллионов розничных и институциональных клиентов, причем ни пользователь, ни поставщик об этом не узнают".

Компания сообщила, что уязвимости BitForge затронули многих ведущих провайдеров кошельков, включая Coinbase, Zengo и Binance. После стандартного для отрасли "90-дневного периода раскрытия информации", установленного компанией Fireblocks, все три фирмы устранили выявленные проблемы.

В своем заявлении главный специалист по информационной безопасности Coinbase Джефф Лунглхофер поблагодарил компанию Fireblocks за выявление и ответственное раскрытие проблемы, добавив, что клиенты и средства Coinbase не подвергались риску. Технический директор Zengo Таль Бири отметил, что проблема была оперативно устранена и средства пользователей не пострадали.

Компания Fireblocks заявила, что она работает над выявлением других фирм, которые могут быть причастны к подобным проблемам безопасности, и связалась с ними.

MPC-кошельки шифруют личный ключ пользователя и передают его нескольким сторонам - как правило, владельцу кошелька, провайдеру кошелька и третьей стороне. Теоретически ни один из этих субъектов не должен иметь возможности разблокировать кошелек, не связавшись с остальными.

Однако, согласно техническим отчетам Fireblocks по уязвимостям BitForge, уязвимости позволили бы хакерам "извлечь полный закрытый ключ, если бы им удалось скомпрометировать только одно устройство".

"Несмотря на то, что мы с удовлетворением отмечаем повсеместное распространение MPC в индустрии цифровых активов, из наших выводов - и последующего процесса раскрытия информации - следует, что не все разработчики и команды MPC созданы одинаковыми, - сказал технический директор и соучредитель компании Fireblocks Павел Беренгольц.

"Компании, использующие технологию Web3, должны тесно сотрудничать с экспертами по безопасности, обладающими ноу-хау и ресурсами для опережения и устранения уязвимостей", - добавил он.

Депозитный риск: Что на самом деле делают криптовалютные биржи с вашими деньгами?