Fireblocks Cryptography Research Team on paljastanut joukon nollapäivän haavoittuvuuksia, jotka vaikuttavat laajalti käytettyihin MPC-protokolliin. Nämä haavoittuvuudet sisältävät GG-18:n, GG-20:n ja Lindell 17:n toteutukset, kolme merkittävää kryptomaailman protokollaa.
Jos näitä puutteita ei korjata, ne voivat johtaa nopeisiin ja huomaamattomiin rahastovarkauksiin lukemattomien yksityis- ja yhteisöasiakkaiden lompakoista. Tämä BitForgeksi kutsuttu haavoittuvuuksien sarja on vaikuttanut erityisesti suuriin lompakkotoimittajiin, kuten Coinbase WaaS, Zengo ja Binance.
Yhtiön lehdistötiedotteen mukaan näiden haavoittuvuuksien ydin piilee siinä, että jotkut toteutukset eivät pysty suojaamaan riittävästi salausprosesseja. Hyökkääjät ja jopa haitalliset sisäpiiriläiset voivat hyödyntää näitä puutteita tyhjentääkseen varoja kryptolompakoista muutamassa sekunnissa, vaikka käyttäjä ei ole tietoinen varkaudesta. Seuraukset voivat olla vakavia, ja vaarassa voi olla miljoonia dollareita.
MPC-protokollat vaarassa: GG18 ja GG20 Paillier Key Haavoittuvuus
Kuten todettiin, kaksi merkittävää haavoittuvuutta ovat keskeisessä asemassa: GG18 ja GG20 Paillier Key Vulnerabilities ja Lindell17 Abort Vulnerabilities.
Tämä haavoittuvuus keskittyy yksityisten avainten poimimiseen lompakoista GG18- ja GG20-protokollia hyödyntäen. Se sisältää huolellisen prosessin, jossa hyökkääjät manipuloivat haitallisia viestejä paljastaakseen MPC-protokollaan osallistuvien osapuolten salaisia sirpaleita. Tämä toistuvasti tehty huolellinen prosessi johtaa lopulta täydelliseen avainten poistamiseen.
Fireblocks väittää aloittavansa tavallisen vastuullisen paljastamisprosessin, joka tarjoaa asianomaisille lompakon tarjoajille, kuten Coinbase WaaS:lle ja Zengolle, aikaa korjata nämä haavoittuvuudet. Sekä Coinbase WaaS:n että Zengon kerrotaan ryhtyneen ripeisiin toimiin korjatakseen havaitut ongelmat ja turvatakseen alustansa. Kuitenkin myös näitä haavoittuvuuksia sisältäviä akateemisia papereita on tarkistettu tarkkuuden varmistamiseksi.
Kasvava turvallisuustarve kryptomarkkinoilla
Kun hajautettu rahoitus- ja Web3-teknologiat jatkavat nousuaan, vallitsemattoman lompakon ja avaintenhallintaratkaisujen tarve tulee ilmeiseksi. Pavel Berengoltz, yksi Fireblocksin perustajista ja teknologiajohtaja, totesi: "Vaikka MPC:n laaja ottaminen käyttöön digitaalisen omaisuuden alalla on lupaavaa, havainnot korostavat sitä tosiasiaa, että kaikki MPC-kehittäjät eivät ole samalla tasolla."
Hän korosti tiiviin yhteistyön merkitystä Web3-teknologiaa hyödyntävien yritysten ja tietoturva-asiantuntijoiden välillä, jotka pystyvät tunnistamaan ja torjumaan haavoittuvuuksia.
Lisäksi Coinbasen tietoturvapäällikkö Jeff Lunglhofer ilmaisi kiitollisuutensa Fireblocksin ennakoivasta ongelman tunnistamisesta. "Korkean alan riman asettaminen turvallisuudelle suojelee ekosysteemiä ja on ratkaisevan tärkeää tämän tekniikan laajemmalle käyttöönotolle", hän huomautti.
Samoin Tal Be'ery, teknologiajohtaja ja yksi Zengon perustajista, kiitti Fireblockia heidän vastuullisesta paljastamisesta ja nopeasta ratkaisusta, joka esitteli avoimen lähdekoodin kryptografisten kirjastojen tehoa.
Coinbase WaaS:n, Zengon ja Binancen lisäksi useat muut lompakon tarjoajat ovat altistuneet BitForge-haavoittuvuudelle. Auttaakseen projekteja mahdollisten haavoittuvuuksien tunnistamisessa, Fireblocks on ottanut käyttöön BitForge-tilantarkistuksen verkkosivuillaan.
Samaan aikaan BitForge-haavoittuvuudet eivät vaikuta Fireblocksin omiin toteutuksiin, MPC-CMP- ja MPC-CMPGG-protokolliin. Nämä protokollat käyttävät nollatietotodisteita salaisen avainmateriaalin turvallisuuden varmistamiseksi avainten luonti-, allekirjoitus- ja tallennusprosessien aikana.
Pohjimmiltaan Fireblocks Cryptography Research Teamin löydöt korostavat jatkuvaa tarvetta vakaille turvatoimille kryptomaailmassa. Kun ala kehittyy jatkuvasti, haavoittuvuuksien tarkkailusta tulee ensiarvoisen tärkeää digitaalisen omaisuuden suojelemiseksi kyberrikollisten kynsiltä.
Joseph Alalade on Web3-, krypto- ja blockchain-sisällön kirjoittaja ja toimittaja. Hänen pitkäjänteinen omistautumisensa näiden monimutkaisten aiheiden oppimiseen ja ymmärtämiseen on antanut hänelle mahdollisuuden yksinkertaistaa niitä kaikille yleisöille. Josephin asiantuntemus ja intohimo alaa kohtaan tekevät hänestä arvokkaan voimavaran organisaatioille, jotka etsivät informatiivista ja mukaansatempaavaa kryptoon liittyvää sisältöä, joka tuottaa tuloksia.
Lähde: https://www.thecoinrepublic.com/2023/08/11/fireblocks-reveals-crypto-wallet-flaws-that-might-drain-your-assets/