חסימות אש חושפות נקודות תורפה הקיימות אצל ספקי ארנקים גדולים
בקיצור
Fireblocks הודיעה כי היא חשפה את מה שנקרא "BitForge", סדרה של פגיעויות של יום אפס הקיימות בכמה מפרוטוקולי החישוב הרב-צדדי המאובטח (MPC) המאומצים ביותר.
עסקים צריכים ליצור קשר עם הספקים שלהם ולבקר באתר בודק מצב BitForge למידע נוסף. נכון למועד כתיבת שורות אלה, Coinbase, Binance ו-Zengo מאובטחים. 12 החברות האחרות עדיין נמצאות בסיכון.
פלטפורמת ניהול קריפטו ארגוני Fireblocks הודיעה כי חשפה את מה שמכונה "BitForge", סדרה של פגיעויות של יום אפס הקיימות בכמה מפרוטוקולי החישוב הרב-צדדי המאובטח (MPC) המאומצים ביותר.
ארגונים רבים וצרכנים קמעונאיים בכל רחבי העולם סומכים ומסתמכים על חישוב מרובה צדדים כסטנדרט בתעשייה לאבטחת ארנק. צוות המחקר של Fireblocks בחן עשרות פרוטוקולי MPC וספקי ארנק נגישים לציבור כדי לקדם את אבטחת MPC.
על פי הודעה פורסם ב-X ב-9 באוגוסט, חוקרי החברה חשפו נקודות תורפה בלמעלה מחמישה עשר ספקי ארנקים גדולים. נקודות תורפה אלו מאפשרות לתוקפים לאחזר מפתח פרטי ממכשיר בודד.
בין ההטמעות הפגיעות של פרוטוקולי MPC ניתן למנות את GG-18, GG-20 ולינדל 17. הפגיעות של Lindell 17 היא תוצאה של יישומים שמעבדים חתימות שנכשלו בצורה שגויה וחורגות מדרישות העבודה האקדמית. לאחר כ-200 בקשות חתימה, הפגיעות מאפשרת לתוקף לגנוב את המפתח על ידי ניצול של ספק הארנק או המשתמש שמשלים את הליך החתימה. פרוטוקולי GG-18 ו-GG-20 עודכנו בשנת 2020 כדי לתקן פגיעות. עם זאת, שינויים אלה הציגו פגיעות חדשה. הדרך שבה ספק ארנק מיישם את הפרוטוקולים הללו קובעת עד כמה חמורה הפגיעות. לדוגמה, יישומים מסוימים צריכים רק 16 חתימות כדי לאחזר את המפתח, בעוד שאחרים עשויים להזדקק למיליארד אחד.
לפי ההודעה של Fireblocks, התקפות יכולות להימשך רק כמה שניות ביישומים מסוימים מבלי שהמשתמש או הספק יהיו מודעים להן.
עסקים צריכים ליצור קשר עם הספקים שלהם ולבקר באתר בודק מצב BitForge למידע נוסף. נכון למועד כתיבת שורות אלה, Coinbase, Binance ו-Zengo מאובטחים. 12 החברות האחרות עדיין נמצאות בסיכון. יש לציין כי הפרוטוקולים MPC-CMP ו-MPC-CMPGG המיושמים על ידי Fireblocks אינם מושפעים, והכספים של לקוחות החברה נותרים מאובטחים.
קרא עוד:
כתב ויתור
בקנה אחד עם הנחיות פרויקט אמון, אנא שים לב שהמידע המסופק בדף זה אינו מיועד ואין לפרש אותו כייעוץ משפטי, מס, השקעות, פיננסי או כל צורה אחרת של ייעוץ. חשוב להשקיע רק את מה שאתה יכול להרשות לעצמך להפסיד ולפנות לייעוץ פיננסי עצמאי אם יש לך ספק. למידע נוסף, אנו מציעים להתייחס לתנאים ולהגבלות וכן לדפי העזרה והתמיכה שסופקו על ידי המנפיק או המפרסם. MetaversePost מחויבת לדיווח מדויק וחסר פניות, אך תנאי השוק עשויים להשתנות ללא הודעה מוקדמת.
על המחבר
ולריה היא כתבת עבור Metaverse Post. היא מתמקדת בגיוס כספים, AI, metaverse, אופנה דיגיטלית, NFTs, והכל web3-קָשׁוּר. ולריה היא בעלת תואר שני בתקשורת ציבורית והיא מקבלת את התואר השני שלה בניהול עסקים בינלאומי. את זמנה הפנוי היא מקדישה לצילום ולסטיילינג אופנה. בגיל 13, ולריה יצרה את הבלוג הראשון שלה שמתמקד באופנה, שפיתח את התשוקה שלה לעיתונאות ולסגנון. היא מבוססת בצפון איטליה ולעתים קרובות עובדת מרחוק מערים אירופיות שונות. אתה יכול ליצור איתה קשר ב [מוגן בדוא"ל]
מאמרים נוספים
ולריה היא כתבת עבור Metaverse Post. היא מתמקדת בגיוס כספים, AI, metaverse, אופנה דיגיטלית, NFTs, והכל web3-קָשׁוּר. ולריה היא בעלת תואר שני בתקשורת ציבורית והיא מקבלת את התואר השני שלה בניהול עסקים בינלאומי. את זמנה הפנוי היא מקדישה לצילום ולסטיילינג אופנה. בגיל 13, ולריה יצרה את הבלוג הראשון שלה שמתמקד באופנה, שפיתח את התשוקה שלה לעיתונאות ולסגנון. היא מבוססת בצפון איטליה ולעתים קרובות עובדת מרחוק מערים אירופיות שונות. אתה יכול ליצור איתה קשר ב [מוגן בדוא"ל]
