Nel dicembre 2022, il team di ricerca sulla crittografia Fireblocks ha identificato una vulnerabilità critica nel portafoglio di criptovaluta di BitGo che avrebbe potuto esporre le chiavi private degli utenti sia al dettaglio che istituzionali. Dopo essere stato informato della falla da Fireblocks, BitGo ha immediatamente risolto il problema di sicurezza e protetto le risorse dei suoi clienti. Questa vulnerabilità era correlata ai portafogli BitGo Threshold Signature Scheme (TSS) e poteva potenzialmente esporre le chiavi private di scambi, banche, aziende e individui che utilizzavano la piattaforma. Fortunatamente, la rapida risposta di BitGo ha risolto rapidamente la vulnerabilità e nessun utente è stato colpito.
Il 10 dicembre, il team di Fireblocks ha scoperto una vulnerabilità nel protocollo del portafoglio ECDSA TSS di BitGo soprannominata "Vulnerabilità a prova zero di BitGo". Con poche righe di codice JavaScript, gli aggressori avrebbero potuto estrarre una chiave privata in meno di un minuto. Per mitigare il rischio per la sicurezza, BitGo ha rilasciato una patch nel febbraio 2023 e ha richiesto ai propri clienti di aggiornare il proprio software all'ultima versione entro il 17 marzo. Inoltre, Fireblocks ha rivelato di aver identificato l'exploit utilizzando un account BitGo gratuito sulla rete principale, in quanto mancavano prove obbligatorie a conoscenza zero, che consentivano loro di esporre la chiave privata attraverso un semplice attacco.
L'utilizzo di piattaforme di risorse di criptovaluta di livello aziendale standard del settore con calcolo multipartitico (MPC/TSS) o tecnologia multi-firma riduce il rischio di un singolo punto di attacco. Ciò si ottiene suddividendo la chiave privata in parti diverse e distribuendole tra più parti. Fireblocks ha dimostrato che gli aggressori interni o esterni possono accedere a una chiave privata completa attraverso due metodi diversi: in primo luogo, un attore malintenzionato potrebbe sfruttare il lato client compromesso di un utente per avviare una transazione e acquisire una parte della chiave privata contenuta nel sistema di BitGo. In caso di successo, BitGo eseguirà il calcolo della firma e perderà inavvertitamente il proprio frammento di chiave. L'aggressore potrebbe quindi ricostruire l'intera chiave privata, caricarla in un portafoglio esterno e successivamente prelevare fondi.
Il secondo scenario considerava un attacco in caso di compromissione di BitGo, in cui gli aggressori attendono che i clienti avviino una transazione prima di inviare loro valori dannosi utilizzati per firmare la transazione con il frammento di chiave del cliente. Ciò consente all'attaccante di rivelare il frammento di chiave dell'utente e combinarlo con quello di BitGo per ottenere il controllo del portafoglio.
Nell'agosto 2022, oltre $ 8 milioni sono stati rubati da oltre 7.000 portafogli Slope basati su Solana e più di $ 9 milioni sono stati drenati da vari utenti di portafoglio MyAlgo di alto profilo sulla rete Algorand. Nonostante nessun attacco da parte del vettore identificato, Fireblocks ha avvertito gli utenti di prendere in considerazione la creazione di nuovi portafogli e lo spostamento di fondi dai portafogli ECDSA TSS BitGo prima della patch, poiché gli attacchi di portafogli sono diventati sempre più dilaganti nel settore delle criptovalute.
