По данным компании Fireblocks, занимающейся инфраструктурой цифровых активов, более 15 широко используемых поставщиков и проектов криптокошельков имеют зияющие уязвимости, которые потенциально могут привести к опустошению миллионов криптокошельков.
В пресс-релизе от 9 августа Fireblocks сообщила, что ряд уязвимостей, получивших название BitForge, затрагивает кошельки, использующие технологию многосторонних вычислений (MPC), которая позволяет нескольким сторонам контролировать и управлять запасами криптовалюты.
1/ Исследовательская группа Fireblocks обнаружила BitForge, набор уязвимостей в некоторых из наиболее распространенных протоколов MPC, которые позволяют злоумышленнику получить закрытый ключ с одного устройства. Читать дальше → pic.twitter.com/7q1nEeVBwO
— Огненные блоки (@FireblocksHQ) 9 августа 2023 г.
Выявленные проблемы были раскрыты как уязвимости «нулевого дня» — это означает, что недостатки ранее не были выявлены проектами.
«Если это не будет устранено, разоблачения позволят злоумышленникам и злонамеренным инсайдерам выкачивать средства из кошельков миллионов розничных и институциональных клиентов за считанные секунды, не зная ни пользователя, ни поставщика».
Фирма сообщила, что уязвимости BitForge затронули многих ведущих поставщиков кошельков, включая Coinbase, Zengo и Binance. После стандартного для отрасли «90-дневного периода раскрытия информации» от Fireblocks три фирмы с тех пор решили выявленные проблемы.
В своем заявлении директор по информационной безопасности Coinbase Джефф Лунгльхофер поблагодарил Fireblocks за выявление и ответственное раскрытие проблемы, добавив, что клиенты и средства Coinbase никогда не подвергались риску. Zengo CTO Tal Be’ery отметил, что проблема была оперативно устранена и средства пользователей не пострадали.
Fireblocks заявила, что работала над выявлением других фирм, которые могут быть замешаны в аналогичных проблемах безопасности, и связалась с ними.
Кошельки MPC шифруют закрытый ключ пользователя и передают его нескольким сторонам, обычно состоящим из владельца кошелька, поставщика кошелька и другой третьей стороны. Теоретически ни один из этих объектов не должен иметь возможности разблокировать кошелек без предварительной связи с другими.
Связанный: Тель-Авивская фондовая биржа предложит крипто-услуги через соглашение Fireblocks
Однако, согласно техническим отчетам Fireblocks об уязвимостях BitForge, уязвимости позволили бы хакерам «извлечь полный закрытый ключ, если бы им удалось скомпрометировать только одно устройство».
«Хотя мы рады видеть, что MPC в настоящее время повсеместно распространен в индустрии цифровых активов, из наших выводов — и нашего последующего процесса раскрытия информации — очевидно, что не все разработчики и команды MPC созданы равными», — сказал технический директор и соучредитель Fireblocks. Павел Беренгольц.
«Компании, использующие технологию Web3, должны тесно сотрудничать с экспертами по безопасности, обладающими ноу-хау и ресурсами, чтобы опережать и устранять уязвимости», — добавил он.
Риск депозита: что на самом деле криптобиржи делают с вашими деньгами?
Источник: Сointеlеgrаph
