Crypto әмиян BitGo пайдаланушылардың жеке кілттерін ашуы мүмкін елеулі ақауларды түзетеді

• BitGo Zero Proof осалдығы Fireblocks командасының кемшілігін атады.
• Fireblocks командасы тегін BitGo негізгі желі тіркелгісін пайдалана отырып, кемшілікті ашу туралы егжей-тегжейлі айтып берді.

Танымал криптовалюталық әмиян BitGo өзінің бөлшек және институционалдық пайдаланушыларының жеке кілттерін ашуы мүмкін елеулі кемшілікті жойды.

2022 жылдың желтоқсанында Fireblocks криптографиялық зерттеу тобы осалдықты тауып, бұл туралы BitGo-ға хабарлады. BitGo Threshold Signature Scheme (TSS) әмияндары платформа пайдаланушыларының, биржалардың, банктердің және бизнестің жеке кілттеріне зиян келтіруі мүмкін ақауларға сезімтал болды.

Соңғы нұсқаға жаңартыңыз

BitGo Zero Proof осалдығы - Fireblocks тобы шабуылдаушыға JavaScript кодының бірнеше жолы арқылы бір минуттың ішінде пайдаланушының жеке кілтін ұрлауға мүмкіндік беретін кемшілік деп атады. 10 желтоқсанда қауіпсіздік кемшілігін анықтағаннан кейін BitGo бұл қызметті дереу өшіріп, 2023 жылдың ақпанында барлық клиенттерге 17 наурызға дейін ең соңғы нұсқаға жаңартуды талап ететін патч шығарды.

Fireblocks командасы тегін BitGo негізгі желі тіркелгісін пайдалана отырып, кемшілікті ашу туралы егжей-тегжейлі айтып берді. BitGo ECDSA TSS әмиян хаттамасында оны тривиальды шабуылға осал ететін кемшілік болды, себебі онда нөлдік білімнің талап етілетін дәлелі жоқ.

Fireblocks ішкі немесе сыртқы шабуылдаушы толық жеке кілтті алудың екі жолы бар екенін көрсетті.

Клиенттік тарапқа рұқсаты бар кез келген адам BitGo жүйесінде сақталған жеке кілттің бір бөлігін ұрлау үшін транзакцияны бастай алады. Қол қоюды есептеуден кейін BitGo құпия ақпаратты ашу арқылы BitGo кілтінің бөлігін ағызып жібереді.

Дегенмен, Fireblocks пайдаланушыларға хабарланған осалдықты пайдаланып ешқандай шабуыл жасалмаса да, түзету шығарылғанға дейін жаңа әмияндарды ашу және ECDSA BitGo әмияндарынан ақша аудару мүмкіндігін қарастыруға кеңес берді.