قامت BitGo بتصحيح ثغرة تهدد بكشف المفاتيح الخاصة لمستخدمي التجزئة والمؤسسات.
قامت BitGo بمحفظة العملة المشفرة بتصحيح ثغرة أمنية خطيرة قد تكشف عن المفاتيح الخاصة لمستخدمي التجزئة والمؤسسات.
حدد فريق أبحاث التشفير Fireblocks الخلل وأبلغ فريق BitGo في ديسمبر 2022. وكانت الثغرة الأمنية مرتبطة بمحافظ BitGo Threshold Signature Scheme (TSS) وكان من الممكن الكشف عن المفاتيح الخاصة للبورصات والبنوك والشركات ومستخدمي النظام الأساسي.
أطلق فريق Fireblocks على الثغرة الأمنية BitGo Zero Proof Vulnerability ، والتي من شأنها أن تسمح للمهاجمين المحتملين باستخراج مفتاح خاص في أقل من دقيقة باستخدام كمية صغيرة من كود JavaScript. علقت BitGo الخدمة الضعيفة في 10 ديسمبر وأصدرت تصحيحًا في فبراير 2023 تطلب تحديثات من جانب العميل لأحدث إصدار بحلول 17 مارس.
حدد فريق Fireblocks كيفية تحديد الثغرة باستخدام حساب BitGo مجاني على الشبكة الرئيسية. سمح جزء مفقود من براهين المعرفة الصفرية الإلزامية في بروتوكول محفظة BitGo ECDSA TSS للفريق بكشف المفتاح الخاص من خلال هجوم بسيط.
تستفيد منصات أصول العملة المشفرة المتوافقة مع معايير الصناعة والمعايير الصناعية من الحساب متعدد الأطراف (MPC / TSS) أو تقنية التوقيعات المتعددة لإزالة إمكانية حدوث هجوم من نقطة واحدة. يتم ذلك عن طريق توزيع مفتاح خاص بين أطراف متعددة ، لضمان الضوابط الأمنية في حالة اختراق أحد الأطراف.
تمكنت Fireblocks من إثبات أن المهاجمين الداخليين أو الخارجيين يمكنهم الوصول إلى مفتاح خاص كامل من خلال وسيلتين ممكنتين.
يمكن لمستخدم العميل المخترق بدء معاملة للحصول على جزء من المفتاح الخاص الموجود في نظام BitGo. يقوم BitGo بعد ذلك بإجراء حساب التوقيع قبل مشاركة المعلومات التي تتسبب في تسرب جزء مفتاح BitGo.
السيناريو الثاني يعتبر هجومًا إذا تم اختراق BitGo. كان المهاجم ينتظر العميل لبدء معاملة قبل الرد بقيمة ضارة. ثم يتم استخدام هذا لتوقيع المعاملة مع جزء المفتاح الخاص بالعميل. يمكن للمهاجم استخدام الرد للكشف عن جزء مفتاح المستخدم ، قبل دمج ذلك مع الجزء الرئيسي من BitGo للتحكم في المحفظة.
لاحظ Fireblocks أنه لم يتم تنفيذ أي هجمات بواسطة المتجه المحدد ، لكنه حذر المستخدمين من التفكير في إنشاء محافظ جديدة ونقل الأموال من محافظ ECDSA TSS BitGo قبل التصحيح
كانت عمليات اختراق المحافظ شائعة في صناعة العملات المشفرة في السنوات الأخيرة. في أغسطس 2022 ، تم استنزاف أكثر من 8 ملايين دولار من أكثر من 7000 محفظة سلوب مقرها سولانا. تم استهداف خدمة محفظة شبكة Algorand MyAlgo أيضًا من خلال اختراق المحفظة الذي شهد استنزاف أكثر من 9 ملايين دولار من محافظ مختلفة رفيعة المستوى.
رابط المصدر :