По данным компании Fireblocks, занимающейся инфраструктурой цифровых активов, более 15 широко используемых поставщиков и проектов криптовалютных кошельков имеют зияющие уязвимости, которые потенциально могут привести к опустошению миллионов криптовалютных кошельков.
В пресс-релизе от 9 августа Fireblocks сообщила, что ряд уязвимостей, получивших название BitForge, затрагивает кошельки, использующие технологию многосторонних вычислений (MPC), которая позволяет нескольким сторонам контролировать и управлять запасами криптовалюты.
1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
Выявленные проблемы были раскрыты как уязвимости «нулевого дня» — это означает, что недостатки ранее не были выявлены проектами.
«Если это не будет устранено, разоблачения позволят злоумышленникам и злонамеренным инсайдерам выкачивать средства из кошельков миллионов розничных и институциональных клиентов за считанные секунды, без ведома пользователя или поставщика».
Фирма сообщила, что уязвимости BitForge затронули многих ведущих поставщиков кошельков, включая Coinbase, Zengo и Binance. После стандартного для отрасли «90-дневного периода раскрытия информации» от Fireblocks три фирмы с тех пор решили выявленные проблемы.
В своем заявлении директор по информационной безопасности Coinbase Джефф Лунгльхофер поблагодарил Fireblocks за выявление и ответственное раскрытие проблемы, добавив, что клиенты и средства Coinbase никогда не подвергались риску. Zengo CTO Tal Be’ery отметил, что проблема была оперативно устранена и средства пользователей не пострадали.
Fireblocks заявила, что работала над выявлением других фирм, которые могут быть замешаны в аналогичных проблемах безопасности, и связалась с ними.
Кошельки MPC шифруют закрытый ключ пользователя и передают его нескольким сторонам, обычно состоящим из владельца кошелька, поставщика кошелька и другой третьей стороны. Теоретически ни один из этих объектов не должен иметь возможности разблокировать кошелек без предварительной связи с другими.
Связанный: Тель-Авивская фондовая биржа предложит услуги криптовалюты через соглашение Fireblocks
Однако, согласно техническим отчетам Fireblocks об уязвимостях BitForge, уязвимости позволили бы хакерам «извлечь полный закрытый ключ, если бы им удалось скомпрометировать только одно устройство».
«Хотя мы рады видеть, что MPC в настоящее время повсеместно распространен в индустрии цифровых активов, из наших выводов — и нашего последующего процесса раскрытия информации — очевидно, что не все разработчики и команды MPC созданы равными», — сказал технический директор и соучредитель Fireblocks. Павел Беренгольц.
«Компании, использующие технологию Web3, должны тесно сотрудничать с экспертами по безопасности, обладающими ноу-хау и ресурсами, чтобы опережать и устранять уязвимости», — добавил он.
Риск депозита: что криптовалютные биржи на самом деле делают с вашими деньгами?
