Гигант криптоинфраструктуры Fireblocks публично раскрыл уязвимости в технологии, используемой более чем десятком крупнейших поставщиков кошельков для цифровых активов.

Компания предупредила, что если не принять меры, то злоумышленники могут использовать эти ошибки для кражи данных у миллионов клиентов.

Эксплойты Bitforge

Набор уязвимостей, объединенных общим названием "Bitforge", относится к популярным протоколам многосторонних вычислений (MPC), включая GG-18, GG-20 и Lindell17. Эти протоколы позволяют контролировать и управлять криптовалютой множеству лиц и групп.

"Уязвимости BitForge, если их не устранить, позволят злоумышленникам использовать недавно обнаруженный недостаток в протоколах GG18 и GG20 путем утечки полного закрытого ключа из-за отсутствия доказательства нулевой осведомленности", - говорится в заявлении Fireblocks, опубликованном в среду.

Компания заявила, что все вендоры, использующие эти протоколы, "должны считаться уязвимыми".

Уязвимость Lindell17, по мнению авторов статьи, связана с тем, что поставщики кошельков отклонились от научной статьи, "создав черный ход для злоумышленников, позволяющий раскрыть часть закрытого ключа при неудачном подписании". Эксплойты уже были проверены на основных реализациях с открытым исходным кодом.

Coinbase и Binance затронуты, но средства в безопасности

В сопроводительном пресс-релизе компания Fireblocks назвала популярных провайдеров, включая Coinbase WaaS, Zengo и Binance, подвергшихся воздействию уязвимостей.

Однако, получив частное уведомление от фирмы, Fireblocks заявила, что три предыдущие фирмы уже устранили проблемы, а соответствующие научные работы были соответствующим образом переработаны.

"Хотя клиенты и средства Coinbase никогда не подвергались риску, поддержание полностью бездоверительной криптографической модели является важным аспектом любой реализации MPC", - заявил Джефф Лунглхофер, директор по информационной безопасности Coinbase, по поводу исправления.

В четверг генеральный директор Binance Чангпенг Чжао также уточнил, что биржа устранила уязвимость и что средства пользователей не пострадали.

Эта проблема присутствовала в открытой библиотеке TSS, выпущенной компанией Binance, и была исправлена. Спасибо Fireblocks за ее обнаружение!

Средства пользователей @Binance не пострадали.

Даже у депозитарных решений MPC есть риски. Оставайтесь #SAFU! 🙏 https://t.co/UneRs7VOj7

- CZ 🔶 Binance (@cz_binance) 10 августа 2023 г.

В своем заявлении технический директор компании Fireblocks Павел Беренгольц написал:

"Хотя мы с удовлетворением отмечаем, что MPC теперь повсеместно распространен в индустрии цифровых активов, из наших выводов - и последующего процесса раскрытия информации - следует, что не все разработчики и команды MPC созданы одинаковыми".

Технический директор отметил, что за первое полугодие 2023 года в результате краж и атак на кошельки было похищено более 500 млн. долл.

Источник