Gã khổng lồ cơ sở hạ tầng tiền điện tử Fireblocks đã tiết lộ công khai các lỗ hổng bảo mật trong công nghệ được sử dụng bởi hơn một chục nhà cung cấp ví tài sản kỹ thuật số lớn.
Công ty cảnh báo rằng nếu không được giải quyết, những kẻ tấn công có thể khai thác lỗ hổng để đánh cắp thông tin từ hàng triệu khách hàng.
Lỗ hổng Bitforge
Được gọi chung là “Bitforge”, tập hợp các lỗ hổng áp dụng cho các giao thức tính toán đa bên (MPC) phổ biến, bao gồm GG-18, GG-20 và Lindell17. Các giao thức này cho phép tiền điện tử được kiểm soát và quản lý bởi nhiều cá nhân và nhóm.
“Nếu không được khắc phục kịp thời, lỗ hổng BitForge sẽ cho phép kẻ tấn công khai thác các lỗ hổng mới được phát hiện trong giao thức GG18 và GG20 để rò rỉ các khóa riêng đầy đủ thông qua bằng chứng zero-knowledge bị thiếu,” Fireblocks viết trong một tuyên bố hôm thứ Tư.
Công ty cho biết tất cả các nhà cung cấp sử dụng các giao thức này “nên được coi là dễ bị tổn thương”.
Nó đã viết rằng lỗ hổng Lindell17 là do nhà cung cấp ví đi chệch khỏi một bài báo học thuật, “tạo một cửa hậu cho kẻ tấn công để lộ một phần khóa riêng nếu chữ ký không thành công.” Những lỗ hổng này đã được xác minh trên các triển khai nguồn mở chính.
Coinbase và Binance bị ảnh hưởng, nhưng tiền vẫn an toàn
Trong một thông cáo báo chí đi kèm, Fireblocks lưu ý rằng các nhà cung cấp phổ biến như Coinbase WaaS, Zengo và Binance đã bị ảnh hưởng bởi các lỗ hổng này.
Tuy nhiên, Fireblocks cho biết sau khi được công ty thông báo riêng trước đó, ba công ty trước đó đã khắc phục sự cố và các bài báo học thuật liên quan đã được sửa đổi phù hợp.
Giám đốc an ninh thông tin của Coinbase Jeff Lunglhofer cho biết về bản vá: “Mặc dù khách hàng và tiền của Coinbase không bao giờ gặp rủi ro, nhưng việc duy trì mô hình mã hóa hoàn toàn không tin cậy là một khía cạnh quan trọng của bất kỳ triển khai MPC nào.”
Giám đốc điều hành Binance Changpeng Zhao cũng đã làm rõ vào thứ Năm rằng sàn giao dịch đã sửa lỗi và không có khoản tiền nào của người dùng bị ảnh hưởng.
Sự cố này đã tồn tại trong thư viện TSS nguồn mở của Binance và hiện đã được khắc phục. Cảm ơn Fireblocks vì đã khám phá ra nó!
KHÔNG @Binance Tiền của người dùng bị ảnh hưởng.
Ngay cả các giải pháp lưu trữ MPC cũng có rủi ro.ở lại #SAFU! 🙏
— CZ 🔶 Binance (@cz_binance) Ngày 10 tháng 8 năm 2023
Fireblocks CTO Pavel Berengoltz đã viết trong một tuyên bố:
“Mặc dù chúng tôi rất vui khi thấy rằng MPC hiện đang phổ biến trong ngành công nghiệp tài sản kỹ thuật số, nhưng rõ ràng từ những phát hiện của chúng tôi và quy trình tiết lộ sau đó rằng không phải tất cả các nhà phát triển và nhóm MPC đều được tạo ra như nhau.”
CTO lưu ý rằng trong nửa đầu năm 2023, các vụ trộm và tấn công ví đã dẫn đến hơn 500 triệu đô la tiền bị đánh cắp.
