"BitForge" olarak adlandırılan güvenlik açıkları, bir saldırganın tek bir cihazdan özel anahtar almasına olanak tanıyor.
9 Ağustos 2023, 11:47 EST'de gönderildi.
Kripto altyapı şirketi Fireblocks'taki araştırmacılardan oluşan bir ekip, en yaygın şekilde benimsenen çok partili hesaplama (MPC) teknolojisi sağlayıcılarından bazılarını etkilediğini söyledikleri bir dizi güvenlik açığını ortaya çıkardı.
1/ Fireblocks araştırma ekibi, en yaygın kullanılan MPC protokollerinin bazılarında bulunan ve bir saldırganın tek bir cihazdan özel bir anahtar almasına olanak tanıyan bir dizi güvenlik açığı olan BitForge'u ortaya çıkardı. Devamını okuyun → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblock'lar (@FireblocksHQ) Ağustos 9, 2023
Araştırmacılar bu keşfi "BitForge" olarak adlandırdılar ve sıfır gün güvenlik açıklarını, MPC protokolleri GG-18 ve MPC protokollerindeki eksik sıfır bilgi kanıtı nedeniyle bir istismarcının bir kullanıcının özel anahtarlarını sızdırmasına olanak tanıyan bir şey olarak tanımladılar. GG-20.
Bu arada, Lindell 17 protokolünü etkileyen güvenlik açığı, cüzdan sağlayıcılarının akademik makalede belirtilen spesifikasyonlardan uzaklaşmasının bir sonucuydu; bu da, imzalama başarısız olduğunda saldırganların özel anahtarın bir kısmını açığa çıkarması için bir arka kapı oluşturdu.
"Güvenlik açığı, tam özel anahtar çıkarılmasına olanak tanıyarak saldırganların kripto cüzdanındaki tüm fonları çalmasına olanak tanıyor." ünlü Fireblocks araştırmacıları.
"Sıfır gün" terimi, geliştiricilerin aslında düzeltmek için sıfır günü olan, daha önce keşfedilmemiş güvenlik açıklarını ifade eder.
Bu güvenlik açıkları; Coinbase, ZenGo ve Binance dahil olmak üzere 15'ten fazla dijital varlık cüzdan sağlayıcısını, blok zincirini ve bu MPC protokollerine dayanan diğer projeleri etkiliyor. Bu firmalar, Fireblocks'un belgelenmiş bulgularını onlara sunmasının ardından BitForge ile ilgili sorunları çözdüler.
“Bu tam olarak proaktif güvenlik işbirliğinin neye benzediğidir. Sorun derhal ele alındı ve hiçbir kullanıcı fonu etkilenmedi" dedi ZenGo'nun baş teknoloji sorumlusu Tal Be'ery.
Coinbase ayrıca kabul etti Fireblocks'un açıklamasında Coinbase Cüzdan tüketici ürününün sorundan etkilenmediğini ancak Hizmet Olarak Cüzdan çözümünün önceki sürümlerinin söz konusu kitaplıklardan bazılarını kullandığını belirtti.
2/ Coinbase, sömürülebilirlik olmamasına rağmen hata yönetimini geliştirmek için Mayıs ayında güncellenmiş kütüphaneleri derhal yayınladı. Bu, en yüksek güvenlik standartlarını sürekli olarak iyileştirme ve sürdürme taahhüdümüzün bir parçasıdır.
— Coinbase Bulutu 🛡️ (@CoinbaseCloud) Ağustos 9, 2023
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/