Fireblocks découvre des vulnérabilités présentes dans les principaux fournisseurs de portefeuilles
En bref
Fireblocks a annoncé avoir découvert le soi-disant « BitForge », une série de vulnérabilités zero-day présentes dans certains des protocoles de calcul multipartite sécurisé (MPC) les plus largement adoptés.
Les entreprises doivent contacter leurs fournisseurs et visiter le Vérificateur d'état BitForge pour plus d'informations. Au moment de la rédaction, Coinbase, Binance et Zengo sont sécurisés. Les 12 autres entreprises sont toujours à risque.
La plate-forme de gestion de chiffrement d'entreprise Fireblocks a annoncé avoir découvert le soi-disant « BitForge », une série de vulnérabilités de type « jour zéro » présentes dans certains des protocoles de calcul multipartite sécurisé (MPC) les plus largement adoptés.
De nombreuses organisations et consommateurs de détail du monde entier font confiance et s'appuient sur le calcul multipartite comme norme de l'industrie pour la sécurité des portefeuilles. L'équipe de recherche Fireblocks a examiné des dizaines de protocoles MPC et de fournisseurs de portefeuilles accessibles au public pour promouvoir la sécurité MPC.
Selon le annonce publié sur X le 9 août, les chercheurs de la société ont découvert des vulnérabilités dans plus de quinze principaux fournisseurs de portefeuilles. Ces vulnérabilités permettent aux attaquants de récupérer une clé privée à partir d'un seul appareil.
Parmi les implémentations vulnérables des protocoles MPC figurent GG-18, GG-20 et Lindell 17. La vulnérabilité Lindell 17 est le résultat d'implémentations traitant de manière incorrecte les signatures ayant échoué et s'écartant des exigences de l'article académique. Après environ 200 demandes de signature, la vulnérabilité permet à un attaquant de voler la clé en profitant du fournisseur de portefeuille ou de l'utilisateur qui termine la procédure de signature. Les protocoles GG-18 et GG-20 ont été mis à jour en 2020 pour corriger une vulnérabilité. Cependant, ces changements ont introduit une nouvelle vulnérabilité. La façon dont un fournisseur de portefeuille implémente ces protocoles détermine la gravité de la vulnérabilité. Par exemple, certaines implémentations n'ont besoin que de 16 signatures pour récupérer la clé, tandis que d'autres peuvent en nécessiter jusqu'à un milliard.
Selon l'annonce de Fireblocks, les attaques ne peuvent durer que quelques secondes dans certaines implémentations sans que l'utilisateur ou le fournisseur en soit conscient.
Les entreprises doivent contacter leurs fournisseurs et visiter le Vérificateur d'état BitForge pour plus d'informations. Au moment de la rédaction, Coinbase, Binance et Zengo sont sécurisés. Les 12 autres entreprises sont toujours à risque. Notamment, les protocoles MPC-CMP et MPC-CMPGG mis en œuvre par Fireblocks ne sont pas affectés et les fonds des clients de l'entreprise restent sécurisés.
Lire la suite:
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Valeria est journaliste pour Metaverse Post. Elle se concentre sur les collectes de fonds, l'IA, le métaverse, la mode numérique, NFTs, et tout web3-en rapport. Valeria est titulaire d'une maîtrise en communications publiques et obtient sa deuxième spécialisation en gestion des affaires internationales. Elle consacre son temps libre à la photographie et au stylisme. À l'âge de 13 ans, Valeria a créé son premier blog axé sur la mode, développant sa passion pour le journalisme et le style. Elle est basée dans le nord de l'Italie et travaille souvent à distance depuis différentes villes européennes. Vous pouvez la contacter au [email protected]
Plus d'articles
Valeria est journaliste pour Metaverse Post. Elle se concentre sur les collectes de fonds, l'IA, le métaverse, la mode numérique, NFTs, et tout web3-en rapport. Valeria est titulaire d'une maîtrise en communications publiques et obtient sa deuxième spécialisation en gestion des affaires internationales. Elle consacre son temps libre à la photographie et au stylisme. À l'âge de 13 ans, Valeria a créé son premier blog axé sur la mode, développant sa passion pour le journalisme et le style. Elle est basée dans le nord de l'Italie et travaille souvent à distance depuis différentes villes européennes. Vous pouvez la contacter au [email protected]
