BitGo آسیب پذیری حیاتی را که برای اولین بار توسط Fireblock کشف شد، اصلاح می کند

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

BitGo یک آسیب‌پذیری را اصلاح کرده است که می‌تواند کلیدهای خصوصی کاربران خرده‌فروشی و سازمانی را فاش کند.

کیف پول ارزهای دیجیتال BitGo یک آسیب‌پذیری مهم را اصلاح کرده است که می‌تواند کلیدهای خصوصی کاربران خرده‌فروشی و سازمانی را فاش کند.

تیم تحقیقات رمزنگاری Fireblocks این نقص را شناسایی کرد و در دسامبر ۲۰۲۲ به تیم BitGo اطلاع داد. این آسیب‌پذیری با کیف پول BitGo Threshold Signature Scheme (TSS) مرتبط بود و می‌توانست کلیدهای خصوصی کاربران صرافی‌ها، بانک‌ها، شرکت‌ها و کاربران پلتفرم را در معرض نمایش بگذارد.

تیم Fireblocks نام این آسیب‌پذیری را BitGo Zero Proof Vulnerability گذاشته است. این آسیب پذیری به مهاجم بالقوه اجازه می دهد تا با استفاده از مقدار کمی کد جاوا اسکریپت، کلید خصوصی را در کمتر از یک دقیقه استخراج کند. BitGo این سرویس آسیب پذیر را در ۱۰ دسامبر به حالت تعلیق درآورد و یک پچ را در فوریه ۲۰۲۳ منتشر کرد. این نیاز به به روز رسانی به آخرین نسخه سمت مشتری تا ۱۷ مارس داشت.

تیم Fireblocks نحوه شناسایی اکسپلویت را با استفاده از یک حساب BitGo رایگان در شبکه اصلی توضیح داد. پروتکل کیف پول ECDSA TSS BitGo برخی از شواهد دانش صفر مورد نیاز را ندارد و به تیم اجازه می‌دهد تا کلیدهای خصوصی را از طریق یک حمله ساده افشا کند.

مرتبط: اویلر فاینانس بیش از ۱۹۵ میلیون دلار حمله وام فلش را هک کرد

پلتفرم‌های ارز دیجیتال استاندارد صنعتی و درجه سازمانی از محاسبات چند جانبه (MPC/TSS) یا فناوری چند امضایی برای حذف احتمال حملات تک نقطه‌ای استفاده می‌کنند. این کار با توزیع کلیدهای خصوصی بین چندین طرف برای اطمینان از کنترل امنیتی در صورت به خطر افتادن یک طرف انجام می شود.

Fireblocks توانست ثابت کند که یک مهاجم داخلی یا خارجی می تواند از دو طریق به کلید خصوصی کامل دسترسی داشته باشد.

یک کاربر در معرض خطر در سمت کلاینت می تواند یک تراکنش را برای به دست آوردن برخی از کلیدهای خصوصی موجود در سیستم BitGo آغاز کند. BitGo قبل از به اشتراک گذاشتن اطلاعاتی که قطعه کلید BitGo را درز می کند، یک محاسبه امضا انجام می دهد.

“یک مهاجم می تواند یک کلید خصوصی کامل را بازسازی کند، آن را در یک کیف پول خارجی بارگذاری کند و بلافاصله یا بعد وجوه را برداشت کند.”

سناریوی دوم به عنوان یک حمله در نظر گرفته می شود که BitGo به خطر بیفتد. مهاجم قبل از پاسخ دادن با مقادیر مخرب منتظر می ماند تا مشتری تراکنش را آغاز کند. این برای امضای تراکنش‌ها در قسمت کلید مشتری استفاده می‌شود. مهاجم می‌تواند از پاسخ برای فاش کردن قسمت کلید کاربر استفاده کند، که می‌تواند برای کنترل کیف پول با قطعه کلید BitGo ترکیب شود.

Fireblocks می‌گوید که حمله‌ای با بردار شناسایی‌شده انجام نداده است، اما به کاربران هشدار داد که قبل از وصله، ایجاد یک کیف پول جدید و انتقال وجه از کیف پول ECDSA TSS BitGo را در نظر بگیرند.

در سال های اخیر، هک کیف پول در صنعت ارزهای دیجیتال رایج شده است. در آگوست ۲۰۲۲، بیش از ۸ میلیون دلار از بیش از ۷۰۰۰ کیف پول Slope مبتنی بر Solana استخراج شد. سرویس کیف پول شبکه Algorand، MyAlgo، نیز مورد هدف هک کیف پول قرار گرفت و بیش از ۹ میلیون دلار از کیف پول های مختلف مختلف استخراج کرد.

نویسنده: Gareth Jenkinson