I krypto-infrastrukturens verden er der blevet gjort en bekymrende opdagelse af Fireblocks, en virksomhed der fokuserer på krypto-løsninger på enterprise-niveau. De har afsløret en række Zero-Day sårbarheder, der påvirker førende MPC-tegnebøger, samlet kendt som “BitForge.” Disse sårbarheder, som softwareudviklerne ikke opdagede før Fireblocks’ offentliggørelse, har påvirket en række velkendte krypto-tegnebøger, der bruger multi-party computation (MPC) teknologi.
Virkningen af BitForge
Blandt de mest bemærkelsesværdige virksomheder, der er påvirket af BitForge, er tre store virksomheder, nemlig Coinbase, ZenGo og Binance. Fireblocks har allerede samarbejdet med disse virksomheder for at mindske deres sårbarhed over for potentielle angreb. Desuden identificerer og kontakter Fireblocks proaktivt andre potentielt berørte hold i overensstemmelse med den industri-standardiserede 90-dages ansvarlige offentliggørelsesproces.
Selvom disse specifikke sårbarheder måske er blevet rettet i de store tegnebøger, rejser denne hændelse alvorlige bekymringer om sikkerheden af disse såkaldte ultra-sikre MPC-tegnebøger. Fireblocks advarede om, at hvis de ikke blev adresseret, kunne disse sårbarheder give angribere og ondsindede personer mulighed for at stjæle penge fra tegnebøgerne hos utallige detail- og institutionelle kunder på få sekunder, uden at brugeren eller leverandøren opdager det.
Sårbarhedernes kompleksitet
Mens Fireblocks indrømmer, at angreb, der udnytter disse sårbarheder, ville have været mulige, fastholder virksomheden, at deres kompleksitet gjorde dem svære at identificere før offentliggørelsen. Fireblocks CEO Michael Shaulov forsikrede om, at sandsynligheden for, at en ondsindet person opdager disse sårbarheder før deres offentliggørelse, er utrolig lav.
Hvis du som MPC-tegnebogsbruger er bekymret for at bruge en sårbar tegnebog, foreslog Shaulov at kontakte Fireblocks eller udfylde en formular, der er tilgængelig på deres hjemmeside.
Forståelse af MPC og BitForge
I konteksten af krypto-tegnebøger er MPC-teknologi designet til at forhindre et enkelt svagt punkt. Dette opnås ved at kryptere en brugers private nøgle og fordele den mellem flere parter, typisk en kombination af tegnebogsbrugeren, tegnebogsudbyderen og en betroet tredjepart. Ingen enkelt enhed kan låse tegnebogen op uden hjælp fra de andre. Men BitForge sårbarhederne kunne have gjort det muligt for en hacker at udtrække den fulde private nøgle ved blot at kompromittere en enkelt enhed og dermed underminere det “multi-party” aspekt af MPC.
Fireblocks har leveret tekniske detaljer om BitForge sårbarhederne i en række tekniske rapporter. Generelt ville en angriber, der udnytter BitForge sårbarhederne, skulle kompromittere en tegnebogsbrugers enhed eller infiltrere de interne systemer hos en anden enhed, der holder en del af brugerens krypterede private nøgle.
Mens vi navigerer i disse komplekse farvande, er det vigtigt at have et pålideligt værktøj til at overvåge dine kryptoaktiver. Det er her platforme som cryptoview.io kommer ind i billedet og giver omfattende indsigt i din kryptoportefølje.
