Ibinunyag ng Fireblocks ang Mga Kahinaan sa 'Zero Day' na Nakakaapekto sa Mga Nangungunang MPC Wallets

Ang Fireblocks, isang kompanya ng imprastraktura ng Crypto na nakatuon sa enterprise, ay nagsiwalat ng isang hanay ng mga kahinaan - sama-samang tinutukoy bilang "BitForge" - na nakakaapekto sa iba't ibang sikat na Crypto wallet na gumagamit Technology ng multi-party computation (MPC)..

Inuri ng firm ang BitForge bilang isang "zero-day" - ibig sabihin ang mga kahinaan ay T natuklasan ng mga developer ng apektadong software bago ang Disclosure mula sa Fireblocks.

Ang Coinbase, ZenGo, at Binance – tatlo sa pinakamalaking kumpanyang naapektuhan ng BitForge – ay nakipagtulungan na sa Fireblocks upang ayusin ang kanilang pagkakalantad sa mga potensyal na pagsasamantala, ayon sa kompanya. Sinabi ng Fireblocks na nagtrabaho ito upang matukoy ang iba pang mga koponan na maaaring maapektuhan at nakipag-ugnayan sa kanila alinsunod sa "pamantayan sa industriya na 90-araw na responsableng proseso ng Disclosure ."

Kahit na ang mga partikular na kahinaan ay maaaring na-patched sa mga pangunahing wallet, ang episode ay nagtataas ng mga potensyal na nakakaalarma na mga tanong tungkol sa kung gaano talaga kaligtas ang mga diumano'y ultra-safe na mga wallet ng MPC.

"Kung hindi naayos, ang mga paglalantad ay magpapahintulot sa mga umaatake at malisyosong tagaloob na maubos ang mga pondo mula sa mga wallet ng milyun-milyong retail at institutional na customer sa ilang segundo, na walang kaalaman sa user o vendor," sabi ng Fireblocks sa isang pahayag na ibinahagi sa CoinDesk.

Habang sinasabi ng Fireblocks na ang mga pag-atake na nagsasamantala sa mga kahinaan ay magiging "praktikal," naniniwala ang kompanya na ang pagiging kumplikado nito ay naging mahirap sa kanila na matuklasan bago ang Disclosure noong Miyerkules . "Ang mga pagkakataon na may isang tao - ilang malisyosong aktor, sabihin natin, naisip ito ng North Korea ilang buwan bago namin nalaman at isiwalat ito sa mga provider ng wallet - sasabihin ko na ang posibilidad na iyon ay napaka, napaka, napakababa," sinabi ng CEO ng Fireblocks na si Michael Shaulov sa CoinDesk.

Kung gustong malaman ng mga user ng MPC wallet kung maaaring gumagamit sila ng vulnerable na wallet, sinabi ni Shaulov na maaari silang makipag-ugnayan sa Fireblocks o punan ang isang form na ipo-post sa website nito.

Multi-party computation

Sa konteksto ng mga Crypto wallet, “pangunahing idinisenyo ang Technology ng MPC upang matiyak na T kang isang punto ng pagkabigo – ang isang pribadong key ay hindi nakaupo sa isang server o sa isang device,” paliwanag ni Shaurov.

Ang mga wallet na gumagamit ng MPC ay nag-e-encrypt ng pribadong key ng isang user at hinahati ito sa iba't ibang partido – karaniwang kumbinasyon ng user ng wallet, provider ng wallet, at pinagkakatiwalaang third party. Sa teorya, walang ONE sa mga entity na ito ang makakapag-unlock ng wallet nang walang tulong mula sa iba.

Ayon sa Fireblocks, ang mga kahinaan ng BitForge ay "nagbibigay-daan sa isang hacker na kunin ang buong pribadong susi kung nagawa nilang ikompromiso ang ONE device lamang," na pinapahina ang buong aspeto ng "multi-party" ng MPC.

Paano ito gumana

Ang mga fireblock ay nagbalangkas ng mga teknikal na detalye ng mga kahinaan ng BitForge sa isang hanay ng mga teknikal na ulat na inilabas noong Miyerkules.

Sa pangkalahatan, para samantalahin ng isang umaatake ang mga kahinaan ng BitForge, kakailanganin nilang ikompromiso ang device ng user ng wallet o pasukin ang mga panloob na system ng ibang tao gamit ang isang piraso ng naka-encrypt na pribadong key ng user – alinman sa serbisyo ng wallet o ONE sa mga third-party na tagapag-alaga.

Ang mga hakbang mula doon ay depende sa wallet. Ang mga kahinaan ng BitForge ay naroroon sa ilang sikat na research paper na naglalarawan kung paano bumuo ng mga MPC system, at iba't ibang provider ng wallet ang magpapatupad ng pananaliksik na ito sa ibang paraan.

Sinasabi ng Coinbase na ang pangunahing serbisyo ng wallet na nakaharap sa gumagamit, ang Coinbase Wallet, ay hindi naapektuhan ng mga bug, samantalang ang Coinbase Wallet-as-a-Service (WaaS) - na magagamit ng mga kumpanya upang palakasin ang kanilang sariling mga wallet ng MPC - ay teknikal na mahina bago nagpatupad ng pag-aayos ang Coinbase.

Ayon sa Coinbase, ang mga kahinaan na natuklasan ng Fireblocks ay "halos imposibleng pagsamantalahan" sa kaso nito - na nangangailangan ng isang "malisyosong server sa loob ng imprastraktura ng Coinbase" upang linlangin ang mga user sa "pagsisimula ng daan-daang ganap na napatotohanan na mga kahilingan sa pagpirma."

"Ito ay lubhang hindi malamang na ang sinumang customer ay handang dumaan sa nakakapagod at manu-manong proseso na daan-daang beses bago makipag-ugnayan sa amin para sa suporta," sabi ni Coinbase.