Nel campo dell’infrastruttura crittografica, è stata fatta una preoccupante rivelazione da parte di Fireblocks, un’azienda specializzata in soluzioni crittografiche di livello enterprise. Hanno svelato una serie di vulnerabilità zero-day che colpiscono i principali portafogli MPC, conosciute collettivamente come “BitForge”. Queste vulnerabilità, non rilevate dagli sviluppatori di software fino alla divulgazione di Fireblocks, hanno colpito una serie di noti portafogli crittografici che utilizzano la tecnologia della computazione multi-partecipante (MPC).
L’impatto di BitForge
Tra le entità più importanti colpite da BitForge ci sono tre grandi aziende, ovvero Coinbase, ZenGo e Binance. Fireblocks ha già collaborato con queste aziende per mitigare la loro vulnerabilità agli attacchi potenziali. Inoltre, Fireblocks sta identificando proattivamente e contattando altre squadre potenzialmente colpite, seguendo il processo di divulgazione responsabile di 90 giorni, standard del settore.
Anche se queste vulnerabilità specifiche potrebbero essere state corrette nei principali portafogli, questo incidente solleva seri dubbi sulla sicurezza di questi cosiddetti portafogli MPC ultra sicuri. Fireblocks ha avvertito che, se non affrontate, queste vulnerabilità potrebbero consentire a attaccanti e insider malevoli di sottrarre fondi dai portafogli di innumerevoli clienti retail e istituzionali in pochi secondi, ignari all’utente o al venditore.
La complessità delle vulnerabilità
Sebbene Fireblocks ammetta che attacchi che sfruttano queste vulnerabilità sarebbero stati fattibili, l’azienda sostiene che la loro natura complessa le rendeva difficili da identificare prima della divulgazione. Il CEO di Fireblocks, Michael Shaulov, ha assicurato che la probabilità che un attore malevolo scopra queste vulnerabilità prima della loro divulgazione è estremamente bassa.
Per gli utenti di portafogli MPC preoccupati di utilizzare un portafoglio vulnerabile, Shaulov ha suggerito di contattare Fireblocks o di compilare un modulo disponibile sul loro sito web.
Comprensione di MPC e BitForge
Nel contesto dei portafogli crittografici, la tecnologia MPC è progettata per prevenire un singolo punto di errore. Ciò viene realizzato crittografando la chiave privata dell’utente e distribuendola tra diverse parti, tipicamente una combinazione tra l’utente del portafoglio, il provider del portafoglio e una terza parte fidata. Nessuna singola entità può sbloccare il portafoglio senza l’assistenza delle altre. Tuttavia, le vulnerabilità di BitForge avrebbero potuto consentire a un hacker di estrarre la chiave privata completa compromettendo un solo dispositivo, minando così l’aspetto “multi-partecipante” di MPC.
Fireblocks ha fornito dettagli tecnici delle vulnerabilità di BitForge in una serie di rapporti tecnici. In generale, un attaccante che sfrutta le vulnerabilità di BitForge avrebbe bisogno di compromettere il dispositivo di un utente del portafoglio o infiltrarsi nei sistemi interni di un’altra entità che detiene una parte della chiave privata crittografata dell’utente.
Mentre navighiamo in queste acque complesse, avere uno strumento affidabile per monitorare i tuoi asset crittografici è essenziale. Ecco dove entrano in gioco piattaforme come cryptoview.io, che forniscono una panoramica completa del tuo portafoglio crittografico.
