2023 年 8 月 10 日

Fireblocks が主要ウォレットプロバイダーに存在する脆弱性を発見

by ヴァレリア・ゴンチャレンコ

公開日：10年2023月12日午前03時10分更新日：2023年12月07日午前XNUMX時XNUMX分

by ダニル・ミャキン

編集および事実確認: 10 年 2023 月 12 日午前 03:XNUMX

簡単に言えば

Fireblocks は、最も広く採用されているセキュアマルチパーティコンピューテーション (MPC) プロトコルの一部に存在する一連のゼロデイ脆弱性、いわゆる「BitForge」を発見したと発表しました。

企業はプロバイダーに連絡し、次のサイトにアクセスする必要があります。 BitForgeステータスチェッカー追加情報については。この記事の執筆時点では、Coinbase、Binance、Zengo は安全です。他の12社は依然としてリスクにさらされている。

エンタープライズ暗号管理プラットフォーム Fireblocks は、最も広く採用されているセキュアマルチパーティコンピューテーション (MPC) プロトコルの一部に存在する一連のゼロデイ脆弱性、いわゆる「BitForge」を発見したと発表しました。

世界中の多くの組織や小売消費者が、ウォレットセキュリティの業界標準としてマルチパーティコンピューティングを信頼し、依存しています。 Fireblocks 研究チームは、MPC のセキュリティを促進するために、公的にアクセス可能な数十の MPC プロトコルとウォレットプロバイダーを調査しました。

による発表 9 月 XNUMX 日に X に掲載された記事によると、同社の研究者は XNUMX を超える主要なウォレットプロバイダーの脆弱性を発見しました。これらの脆弱性により、攻撃者は単一のデバイスから秘密キーを取得できます。

MPC プロトコルの脆弱な実装には、GG-18、GG-20、および Lindell 17 があります。Lindell 17 の脆弱性は、実装が失敗した署名を誤って処理し、学術論文の要件から逸脱した結果です。約 200 件の署名リクエストが行われると、この脆弱性により、攻撃者はウォレットプロバイダーまたは署名手順を完了したユーザーを利用してキーを盗むことができます。 GG-18 および GG-20 プロトコルは、脆弱性を修正するために 2020 年に更新されました。ただし、これらの変更により、新たな脆弱性が導入されました。ウォレットプロバイダーがこれらのプロトコルを実装する方法によって、脆弱性の深刻さが決まります。たとえば、一部の実装ではキーを取得するために 16 個の署名しか必要としませんが、他の実装では XNUMX 億もの署名が必要になる場合があります。

Fireblocks の発表によると、特定の実装では、ユーザーやベンダーが気付かないうちに攻撃が持続するのは数秒しかありません。

1/ Fireblocks 研究チームは、最も広く採用されている MPC プロトコルの一部に存在する一連の脆弱性である BitForge を発見しました。この脆弱性により、攻撃者は単一のデバイスから秘密キーを取得できます。続きを読む → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— ファイアブロック (@FireblocksHQ) 2023 年 8 月 9 日

企業はプロバイダーに連絡し、次のサイトにアクセスする必要があります。 BitForgeステータスチェッカー追加情報については。この記事の執筆時点では、Coinbase、Binance、Zengo は安全です。他の12社は依然としてリスクにさらされている。特に、Fireblocks によって実装された MPC-CMP および MPC-CMPGG プロトコルは影響を受けず、同社の顧客の資金は安全なままです。

1/ 当社はユーザーのセキュリティを何よりも優先します。最近、いくつかの Multi-Party Computation (MPC) ライブラリでエラー処理の欠陥が発見されました。 MPC プロトコルに実装した安全対策により、当社のサービスには実質的に悪用可能な脆弱性はありませんでした。
— Coinbase クラウド 🛡️ (@CoinbaseCloud) 2023 年 8 月 9 日

続きを読む：

タグ：

免責事項

に沿ってトラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポートページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。

著者について

ヴァレリアはレポーターです Metaverse Post。彼女は募金、AI、メタバース、デジタルファッション、 NFT、そしてすべて web3-関連している。ヴァレリアは公共コミュニケーションの修士号を取得しており、国際ビジネス管理の 13 番目の専攻を取得中です。彼女は自由時間を写真撮影とファッションスタイリングに費やしています。ヴァレリアは XNUMX 歳のとき、ファッションに焦点を当てた最初のブログを作成し、ジャーナリズムとスタイルに対する情熱を育みました。彼女はイタリア北部に拠点を置き、ヨーロッパのさまざまな都市からリモートで仕事をすることがよくあります。彼女に連絡できるのは次のアドレスです。 [メール保護]

より多くの記事

ヴァレリア・ゴンチャレンコ