El conjunto de vulnerabilidades, denominado "BitForge", permitiría a un atacante recuperar una clave privada desde un solo dispositivo.
Publicado el 9 de agosto de 2023 a las 11:47 p. m. EST.
Un equipo de investigadores de la empresa de infraestructura criptográfica Fireblocks ha revelado un conjunto de vulnerabilidades que, según dicen, afectan a algunos de los proveedores de tecnología de computación multipartita (MPC) más ampliamente adoptados.
1/ El equipo de investigación de Fireblocks descubrió BitForge, un conjunto de vulnerabilidades en algunos de los protocolos MPC más adoptados, que permiten a un atacante recuperar una clave privada desde un solo dispositivo. Sigue leyendo → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
- Bloques de fuego (@FireblocksHQ) 9 de agosto de 2023
Los investigadores se refirieron al descubrimiento como "BitForge", describiendo el conjunto de vulnerabilidades de día cero como algo que habría permitido a un explotador exfiltrar las claves privadas de un usuario debido a la falta de una prueba de conocimiento cero en los protocolos MPC GG-18 y GG-20.
Mientras tanto, la vulnerabilidad que afectó al protocolo Lindell 17 fue el resultado de que los proveedores de billeteras se alejaron de las especificaciones establecidas en el documento académico, lo que creó una puerta trasera para que los atacantes expusieran parte de la clave privada cuando fallaba la firma.
"La vulnerabilidad permite la extracción completa de claves privadas, lo que permite a los atacantes robar todos los fondos de la billetera criptográfica". señaló los investigadores de Fireblocks.
El término "día cero" se refiere a vulnerabilidades no descubiertas previamente, que los desarrolladores esencialmente tienen cero días para corregir.
Estas vulnerabilidades afectan a más de 15 proveedores de carteras de activos digitales, cadenas de bloques y otros proyectos que dependen de estos protocolos MPC, incluidos Coinbase, ZenGo y Binance. Desde entonces, estas empresas han resuelto los problemas relacionados con BitForge después de que Fireblocks les presentara sus hallazgos documentados.
“Así es exactamente como se ve la colaboración de seguridad proactiva. El problema se resolvió de inmediato y los fondos de los usuarios no se vieron afectados”, dijo Tal Be'ery, director de tecnología de ZenGo.
Coinbase también reconoció La divulgación de Fireblocks, señalando que si bien su producto de consumo Coinbase Wallet no se vio afectado por el problema, las versiones anteriores de su solución Wallet as a Service usaban algunas de las bibliotecas en cuestión.
2/ Coinbase lanzó de inmediato bibliotecas actualizadas en mayo para mejorar el manejo de errores, a pesar de la falta de explotabilidad. Esto es parte de nuestro compromiso de mejorar continuamente y mantener los más altos estándares de seguridad.
— Nube de Coinbase 🛡️ (@CoinbaseCloud) 9 de agosto de 2023
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/