数字货币包 BitGo 修补了一个严重漏洞,该漏洞可能会暴露零售和企业用户的私钥。
密码学研究团队 Fireblocks 发现了该漏洞,并于 2022 年 12 月将其报告给了 BitGo 团队。 该漏洞与 BitGo 阈值签名方案 (TSS) 钱包有关,有可能暴露交易所、银行、企业和平台用户的私钥。
Fireblocks 团队将该漏洞命名为 BitGo 零保护漏洞,该漏洞允许潜在的攻击者使用少量 JavaScript 代码在不到一分钟的时间内获取私钥。 BitGo 于 12 月 10 日暂停了易受攻击的服务,并于 2023 年 2 月发布了一个补丁,要求在 3 月 17 日之前将客户端更新到最新版本。
推荐阅读 1每个加密货币投资者都必须拥有的 12 种加密货币分析工具
4小时前 2托马斯·格雷科是谁? 神秘的以太坊顾问是柴犬良志?
5小时前Fireblocks 团队概述了它如何使用主网上的免费 BitGo 帐户识别漏洞。 BitGo 的 ECDSA TSS 钱包协议中缺失的强制性零知识证明允许团队通过简单的攻击泄露私钥。
行业标准的企业级加密货币资产平台使用多方计算(MPC/TSS)或多重签名技术来消除单点攻击的可能性。 这是通过在多方之间分发私钥以在一方受到损害时提供安全检查来完成的。
Fireblocks 能够证明内部或外部攻击者可以通过两种可能的方式访问完整的私钥。
受感染的客户端用户可以启动一个过程来检索 BitGo 系统中保存的部分私钥。 BitGo 然后在 BitGo 共享密钥块的泄漏信息之前执行签名计算。
“攻击者现在可以重新生成完整的私钥,将其上传到外部钱包,然后立即或稍后提取资金。”
如果 BitGo 遭到破坏,则第二种情况被视为攻击。 攻击者在用恶意值响应之前等待客户端发起交易。 然后将其用于与客户的密钥部分签署交易。 攻击者可以使用响应来揭示用户的密钥,然后将其与 BitGo 的密钥结合起来以控制钱包。
Fireblocks 表示,确定的矢量没有进行任何攻击,但提醒用户在修补之前考虑创建新钱包并从 ECDSA TSS BitGo 钱包转移资金。
近年来,黑客攻击钱包在加密货币行业变得司空见惯。 2022 年 8 月,从 7,000 多个基于 Solana 的 Slope 钱包中提取了超过 800 万美元。 Algorand 网络钱包服务 MyAlgo 也成为钱包攻击的目标,各种知名钱包流出超过 900 万美元。
关注微信
