Nhóm nghiên cứu mật mã tại nhà cung cấp cơ sở hạ tầng chuỗi khối Fireblocks đã công bố chi tiết về lỗ hổng BitGo ngày hôm nay Ethereum Sử dụng ví công ty sơ đồ chữ ký ngưỡng (TSS).
Người dùng BitGo có khóa riêng tư có thể đã bị xâm phạm bao gồm các sàn giao dịch, ngân hàng và các thương hiệu Web3 nổi tiếng, với hàng trăm nghìn người dùng giữa họ. Fireblocks từ chối nêu tên các thương hiệu cụ thể bị ảnh hưởng, với lý do thỏa thuận không tiết lộ (NDA).
Fireblocks đã có thể phát hiện ra lỗ hổng vào đầu tháng 12, hơn một tháng sau khi dịch vụ được công khai.
Sau khi xác nhận các chi tiết kỹ thuật của lỗ hổng, BitGo đã tạm dừng dịch vụ của mình vào ngày 10 tháng 12 và phát hành bản cập nhật vá lỗi vào tháng Hai. Công ty có trụ sở tại Palo Alto cũng đang yêu cầu khách hàng của mình cập nhật lên phiên bản mới nhất trước ngày 17 tháng 3.
Thông báo hôm nay được đưa ra khi kết thúc quy trình “tiết lộ phối hợp” được thực hiện bởi nhóm nghiên cứu của công ty và nhóm bảo mật của BitGo. Theo Fireblocks, lỗ hổng này có thể cho phép kẻ tấn công trích xuất toàn bộ khóa riêng tư bằng một chữ ký duy nhất và vài giây tính toán, do đó bỏ qua tất cả các tính năng bảo mật của BitGo.
BitGo, một công ty bảo mật và lưu ký tài sản kỹ thuật số có khách hàng bao gồm một số tên tuổi lớn nhất trong ngành tiền điện tử như Bitstamp, Pantera Capital và eToro, lần đầu tiên Ra mắt ví TSS tháng 6 năm 2022, với Hỗ trợ Ví Ethereum Tham gia vào tháng 10.
Những lo ngại về các cuộc tấn công tiềm năng trước đó vẫn còn
Lỗ hổng được gọi là Lỗ hổng bằng chứng BitGo Zero— xuất phát từ việc thiếu triển khai bằng chứng bắt buộc không có kiến thức trong giao thức ví BitGo TSS, giao thức này sử dụng Thuật toán chữ ký số Elliptic Curve (ECDSA).
Lỗ hổng zero-proof lần đầu tiên được phát hiện trong BitGoJS, ứng dụng khách BitGo sử dụng SDK để tương tác với API BitGo. BitGoJS được sử dụng để thực hiện ký ở phía máy khách.
Việc khai thác lỗ hổng bảo mật trên SDK cho phép kẻ tấn công đánh cắp khóa chia sẻ riêng tư được khách hàng sử dụng, bất kể phương thức lưu trữ khóa và các biện pháp bảo mật của nó.
Mặc dù BitGo đã thực hiện các bước để giải quyết lỗ hổng, nhưng nhóm tại Fireblocks vẫn lo ngại rằng các lần khai thác trước đó có thể khiến ví NFT của các thương hiệu bị ảnh hưởng dễ bị tổn thương.
Arik Galansky, người đứng đầu bộ phận công nghệ, nghiên cứu và đổi mới tại Fireblocks, nói với Cointelegraph: “Bất kỳ bản vá nào được đưa vào thư viện đều phải bảo vệ các ví thực hiện nó. giải mã“Tuy nhiên, vẫn còn một mối lo ngại nếu ai đó đã khai thác lỗ hổng trong quá khứ và trích xuất khóa trong khi sử dụng thư viện dễ bị tấn công.”
“Khi các cuộc tấn công vào ngành công nghiệp tiền điện tử tiếp tục tăng tốc, những người giám sát được cấp phép được giao nhiệm vụ bảo vệ hàng tỷ đô la tiền của người dùng,” đồng sáng lập Fireblocks và CTO Idan Ofrat cho biết trong một tuyên bố. giải mã.”Lỗ hổng là kết quả của việc nhà cung cấp ví không tuân theo các tiêu chuẩn mã hóa đã được kiểm duyệt kỹ lưỡng.”
Mặc dù các ví được tạo sau bản vá sẽ an toàn, nhưng theo Fireblocks, các khóa cho bất kỳ ví BitGo Ethereum TSS nào được tạo trước khi cập nhật nên được coi là có khả năng bị lộ. Do đó, bất kỳ khoản tiền nào trong các ví này đều phải được coi là có rủi ro và được chuyển ngay sang ví an toàn.
Luôn cập nhật tin tức về tiền điện tử và nhận thông tin cập nhật hàng ngày trong hộp thư đến của bạn.
