Fireblocks розкриває величезну вразливість, що впливає на гаманці криптовалюти

Згідно з даними фірми Fireblocks, що займається інфраструктурою цифрових активів, понад 15 широко використовуваних постачальників і проектів криптовалютних гаманців мають явні вразливості, які потенційно можуть призвести до виснаження мільйонів криптовалютних гаманців.

У прес-релізі Fireblocks від 9 серпня повідомили, що серія вразливостей, що отримала назву BitForge, впливає на гаманці, що використовують технологію багатосторонніх обчислень (MPC), яка дозволяє кільком сторонам контролювати та керувати криптовалютними авуарами.

1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) August 9, 2023

Виявлені проблеми були розкриті як уразливості «нульового дня» — це означає, що недоліки раніше не були виявлені проектами.

«Якщо не усунути викриття, це дозволить зловмисникам і зловмисникам за лічені секунди витягти кошти з гаманців мільйонів роздрібних і інституційних клієнтів, не знаючи ні користувача, ні постачальника».

Фірма розкрила, що уразливості BitForge вплинули на багатьох провідних постачальників гаманців, включаючи Coinbase, Zengo і Binance. Дотримуючись галузевого стандарту «90-денного періоду розкриття інформації» від Fireblocks, три фірми відтоді вирішили виявлені проблеми.

У своїй заяві головний спеціаліст з інформаційної безпеки Coinbase Джефф Лунглхофер подякував Fireblocks за виявлення та відповідальне розкриття проблеми, додавши, що клієнти та кошти Coinbase ніколи не ризикували. Технічний директор Zengo Тал Беері зазначив, що проблему було швидко вирішено, і кошти користувачів не постраждали.

Fireblocks повідомила, що працювала над виявленням інших фірм, які можуть бути причетні до подібних проблем безпеки, і зв’язалася з ними.

Гаманці MPC шифрують особистий ключ користувача та ділять його між декількома сторонами — як правило, складаються з власника гаманця, постачальника гаманця та іншої третьої сторони. Теоретично жодна з цих сутностей не зможе розблокувати гаманець без попереднього спілкування з іншими.

За темою: Тель-Авівська фондова біржа пропонуватиме послуги криптовалюти через пакт Fireblocks

Однак, згідно з технічними звітами Fireblocks про вразливості BitForge, уразливості дозволили б хакерам «видобути повний закритий ключ, якби вони змогли скомпрометувати лише один пристрій».

«Хоча ми раді бачити, що MPC тепер повсюдно поширений в індустрії цифрових активів, з наших висновків — і нашого подальшого процесу розкриття — очевидно, що не всі розробники та команди MPC створені рівними», — сказав технічний директор і співзасновник Fireblocks. Павло Беренгольц.

«Компанії, які використовують технологію Web3, повинні тісно співпрацювати з експертами з безпеки, які мають ноу-хау та ресурси, щоб випереджати та пом’якшувати вразливості», — додав він.

Депозитний ризик: що насправді роблять біржі криптовалют з вашими грошима?