Fireblocks 發現了主要錢包提供商中存在的漏洞

by 瓦萊里婭·貢恰連科

發布日期：10年2023月12日上午03點10分更新日期：2023年12月07日上午XNUMX點XNUMX分

by 丹尼爾·米亞金

編輯和事實核查：10 年 2023 月 12 日上午 03:XNUMX

簡單來說

Fireblocks 宣布它已經發現了所謂的“BitForge”，這是一些最廣泛採用的安全多方計算 (MPC) 協議中存在的一系列零日漏洞。

企業應聯繫其提供商並訪問 BitForge 狀態檢查器獲取更多信息。截至撰寫本文時，Coinbase、Binance 和 Zengo 都是安全的。其他12家公司仍面臨風險。

企業加密管理平台 Fireblocks 宣布，它發現了所謂的“BitForge”，這是一些最廣泛採用的安全多方計算 (MPC) 協議中存在的一系列零日漏洞。

世界各地的許多組織和零售消費者信任並依賴多方計算作為錢包安全的行業標準。 Fireblocks 研究團隊檢查了數十個可公開訪問的 MPC 協議和錢包提供商，以提高 MPC 安全性。

根據本公告該公司的研究人員於 9 月 XNUMX 日在 X 上發布，發現了超過 XNUMX 家主要錢包提供商的漏洞。這些漏洞允許攻擊者從單個設備檢索私鑰。

MPC 協議的易受攻擊的實現包括 GG-18、GG-20 和 Lindell 17。Lindell 17 漏洞是由於實現錯誤地處理失敗的簽名並偏離學術論文的要求而導致的。在大約 200 個簽名請求後，該漏洞使攻擊者能夠利用完成簽名過程的錢包提供商或用戶來竊取密鑰。 GG-18 和 GG-20 協議於 2020 年更新以修復漏洞。然而，這些更改引入了新的漏洞。錢包提供商實施這些協議的方式決定了漏洞的嚴重程度。例如，某些實現僅需要 16 個簽名即可檢索密鑰，而其他實現可能需要多達 XNUMX 億個簽名。

根據 Fireblocks 的公告，在某些實施中，攻擊只能持續幾秒鐘，而用戶或供應商都不會意識到。

1/ Fireblocks 研究團隊發現了 BitForge，這是一些最廣泛採用的 MPC 協議中的一組漏洞，允許攻擊者從單個設備檢索私鑰。繼續閱讀→ https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) 2023 年 8 月 9 日

企業應聯繫其提供商並訪問 BitForge 狀態檢查器獲取更多信息。截至撰寫本文時，Coinbase、Binance 和 Zengo 都是安全的。其他12家公司仍面臨風險。值得注意的是，Fireblocks 實施的 MPC-CMP 和 MPC-CMPGG 協議不受影響，公司客戶的資金仍然安全。

1/ 我們將用戶的安全放在首位。最近，在一些多方計算（MPC）庫中發現了錯誤處理缺陷。由於我們在 MPC 協議中實施了保護措施，我們的服務中不存在實際可利用的漏洞。
— Coinbase 雲🛡️ (@CoinbaseCloud) 2023 年 8 月 9 日

閱讀更多：

標籤：

免責聲明

在與線信託專案指南，請注意，本頁提供的資訊無意且不應被解釋為法律、稅務、投資、財務或任何其他形式的建議。重要的是，僅投資您可以承受損失的金額，並在有任何疑問時尋求獨立的財務建議。如需了解更多信息，我們建議您參閱條款和條件以及發行人或廣告商提供的幫助和支援頁面。 MetaversePost 致力於提供準確、公正的報告，但市場狀況如有變更，恕不另行通知。

關於作者

瓦萊里婭是一名記者 Metaverse Post。她專注於籌款、人工智能、元宇宙、數字時尚、 NFTs，以及一切 web3-有關的。瓦萊裡婭擁有公共傳播碩士學位，並正在攻讀她的第二個專業——國際商業管理。她將業餘時間用於攝影和時尚造型。 13 歲時，Valeria 創建了她的第一個時尚博客，這激發了她對新聞和時尚的熱情。她居住在義大利北部，並經常在歐洲不同城市進行遠距工作。您可以透過以下方式聯繫她 [電子郵件保護]