Плач Bitgo Критическая уязвимость впервые обнаружена Fireblocks

Криптовалютный кошелек BitGo исправил критическую уязвимость, которая могла бы выявить частные ключи розничных и институциональных пользователей.

Исследовательская группа по криптографии Fireblocks определила недостаток и уведомила команду Bitgo в декабре 2022 года.

Команда Fireblocks назвала уязвимость уязвимости Bitgo Zero Proof, которая позволила бы потенциальным злоумышленникам извлечь личный ключ за минуту, используя небольшое количество кода JavaScript. Bitgo приостановил уязвимую услугу 10 декабря и выпустила патч в феврале 2023 года, который требовал обновлений на стороне клиента до последней версии до 17 марта.

Команда Fireblocks рассказала, как она идентифицировала эксплойт, используя бесплатную учетную запись Bitgo на Mainnet. Отсутствующая часть обязательных доказательств с нулевым знанием в протоколе кошелька ECDSA's ECDSA позволила команде разоблачить личный ключ посредством простой атаки.

Платформы для криптовалютных активов в отраслевом стандартном классе используются либо многопартийные компоненты (MPC/TSS), либо технологию с несколькими подписью для устранения возможности одной точки атаки. Это делается путем распространения частного ключа между несколькими сторонами, чтобы обеспечить управление безопасностью, если одна сторона будет скомпрометирована.

Fireblocks смог доказать, что внутренние или внешние злоумышленники могут получить доступ к полному частному ключу с помощью двух возможных средств.

Компрометированный пользователь на стороне клиента может инициировать транзакцию для получения части частного ключа, удерживаемого в системе Bitgo. Затем Bitgo выполнит вычисление подписания, прежде чем обмениваться информацией, которая утечет шар Bitgo Key.

«Атакующий теперь может реконструировать полный закрытый ключ, загрузить его во внешний кошелек и немедленно снять средства или на более позднем этапе».

Второй сценарий считался атакой, если Битго был скомпрометирован. Злоумышленник будет ждать, пока клиент будет инициировать транзакцию, прежде чем ответить со злонамеренной ценностью. Затем это используется для подписи транзакции с помощью ключа клиента. Злоумышленник может использовать ответ, чтобы раскрыть шар -ключ пользователя, прежде чем объединить его с ключом Bitgo, чтобы взять контроль над кошельком.

Fireblocks отмечает, что идентифицированным вектором не было никаких атак, но предупредили пользователей, чтобы рассмотреть возможность создания новых кошельков и перемещения средств из кошельков EcdSa TSS Bitgo до патча

В последние годы взломы кошельков были обычным явлением в индустрии криптовалют. В августе 2022 года более 8 миллионов долларов было осушено из более чем 7000 кошельков с склонами на базе Соланы. Служба сетевого кошелька Algorand Myalgo также была нацелена на взлом кошелька, в котором более 9 миллионов долларов были истощены из различных громких кошельков.