- Fireblocks komanda ir nodēvējusi par trūkumu BitGo Zero Proof Vulnerability.
- Fireblocks komanda detalizēti atklāja trūkumu, izmantojot bezmaksas BitGo tīkla kontu.
BitGo, populārs kriptovalūtu maciņš, ir novērsis nopietnu trūkumu, kas varētu būt atklājis tā mazumtirdzniecības un institucionālo lietotāju privātās atslēgas.
2022. gada decembrī Fireblocks kriptogrāfijas izpētes grupa atklāja ievainojamību un informēja par to BitGo. BitGo Threshold Signature Scheme (TSS) maki bija jutīgi pret trūkumu, kas varēja apdraudēt platformas lietotāju, biržu, banku un uzņēmumu privātās atslēgas.
Jauniniet uz jaunāko versiju
BitGo Zero Proof ievainojamība ir tas, ko Fireblocks komanda nodēvējusi par trūkumu, kas var ļaut uzbrucējam mazāk nekā minūtes laikā nozagt lietotāja privāto atslēgu, izmantojot tikai dažas JavaScript koda rindiņas. Pēc drošības nepilnības atklāšanas 10. decembrī BitGo nekavējoties atspējoja pakalpojumu un 2023. gada februārī izdeva ielāpu, liekot visiem klientiem veikt jaunināšanu uz jaunāko versiju līdz 17. martam.
Fireblocks komanda detalizēti atklāja trūkumu, izmantojot bezmaksas BitGo tīkla kontu. BitGo ECDSA TSS maka protokolam bija kļūda, kas padarīja to neaizsargātu pret triviālu uzbrukumu, jo tam trūka vajadzīgā nulles zināšanu pierādījuma.
Ugunsdrošības bloki parādīja, ka ir divi veidi, kā iekšējs vai ārējs uzbrucējs var iegūt pilnīgu privāto atslēgu.
Ikviens, kam ir piekļuve klienta pusei, var uzsākt darījumu, lai nozagtu BitGo sistēmā saglabātās privātās atslēgas daļu. Pēc parakstīšanas aprēķināšanas BitGo noplūdīs BitGo atslēgas fragmentu, atklājot sensitīvu informāciju.
Neskatoties uz to, Fireblocks ieteica lietotājiem apsvērt iespēju atvērt jaunus makus un pārskaitīt līdzekļus no ECDSA BitGo makiem pirms labojuma izlaišanas, lai gan nav veikti uzbrukumi, izmantojot ziņoto ievainojamību.
Avots: https://thenewscrypto.com/crypto-wallet-bitgo-fixes-serious-flaw-that-could-expose-users-private-keys/