I principali portafogli crittografici trovati vulnerabili all’estrazione di chiavi, avverte Fireblocks

Il gigante delle infrastrutture crittografiche Fireblocks ha rivelato pubblicamente vulnerabilità di sicurezza nella tecnologia utilizzata da oltre una dozzina di importanti fornitori di portafogli di risorse digitali.

Se non affrontata, la società ha avvertito che gli aggressori potrebbero sfruttare i bug per rubare a milioni di clienti.

Gli exploit di Bitforge

L'insieme di vulnerabilità, denominate collettivamente "Bitforge", si applica ai protocolli MPC (multi-party-computation) più diffusi, tra cui GG-18, GG-20 e Lindell17. Questi protocolli consentono alla criptovaluta di essere controllata e gestita da più individui e gruppi.

"Le vulnerabilità di BitForge, se non risolte, consentirebbero agli aggressori di sfruttare un difetto scoperto di recente nei protocolli GG18 e GG20 esfiltrando l'intera chiave privata a causa di una prova di conoscenza zero mancante", ha scritto Fireblocks in una dichiarazione mercoledì.

La società ha dichiarato che tutti i fornitori che utilizzano i protocolli "dovrebbero essere considerati vulnerabili".

La vulnerabilità di Lindell17, ha scritto, era dovuta ai provider di portafogli che si discostavano dal documento accademico, "creando una backdoor per gli aggressori per esporre parte della chiave privata quando la firma fallisce". Gli exploit sono già stati convalidati su importanti implementazioni open source.

Coinbase e Binance interessati, ma i fondi sono al sicuro

In un comunicato stampa di accompagnamento, Fireblocks ha indicato che provider popolari tra cui Coinbase WaaS, Zengo e Binance sono stati colpiti dalle vulnerabilità.

Tuttavia, essendo stata preventivamente informata privatamente dall'azienda, Fireblocks ha affermato che le tre aziende precedenti hanno già corretto i problemi e che i relativi documenti accademici sono stati opportunamente rivisti.

"Sebbene i clienti e i fondi di Coinbase non siano mai stati a rischio, il mantenimento di un modello crittografico completamente affidabile è un aspetto importante di qualsiasi implementazione MPC", ha dichiarato Jeff Lunglhofer, Chief Information Security Officer di Coinbase, riguardo alla patch.

Il CEO di Binance, Changpeng Zhao, ha anche chiarito giovedì che l'exchange ha corretto la vulnerabilità e che nessun fondo degli utenti è stato interessato.

In una dichiarazione, il CTO di Fireblocks Pavel Berengoltz ha scritto:

"Anche se siamo incoraggiati a vedere che MPC è ormai onnipresente nel settore delle risorse digitali, è evidente dalle nostre scoperte – e dal nostro successivo processo di divulgazione – che non tutti gli sviluppatori e i team MPC sono uguali".

Il CTO ha osservato che oltre 500 milioni di dollari sono stati rubati in furti di portafogli e attacchi nella prima metà del 2023.

Il post Major Crypto Wallets Found Vulnerable To Key Extraction, Fireblocks Warns è apparso per la prima volta su CryptoPotato .

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto