No âmbito da infraestrutura de criptomoedas, uma revelação preocupante foi feita pela Fireblocks, uma empresa focada em soluções de criptomoedas de nível empresarial. Eles revelaram uma série de vulnerabilidades zero-day que afetam as principais wallets de MPC, conhecidas coletivamente como “BitForge”. Essas vulnerabilidades, não detectadas pelos desenvolvedores de software até a divulgação da Fireblocks, têm afetado uma variedade de wallets de criptomoedas conhecidas que utilizam a tecnologia de computação multipartidária (MPC).
O Impacto do BitForge
Entre as entidades mais afetadas pelo BitForge estão três grandes empresas, a saber, Coinbase, ZenGo e Binance. A Fireblocks já colaborou com essas empresas para mitigar sua suscetibilidade a possíveis explorações. Além disso, a Fireblocks está identificando e entrando em contato proativamente com outras equipes potencialmente afetadas, seguindo o processo de divulgação responsável padrão do setor, com prazo de 90 dias.
Embora essas vulnerabilidades específicas possam ter sido corrigidas nas principais wallets, esse incidente levanta sérias preocupações sobre a segurança dessas wallets de MPC consideradas ultra-seguras. A Fireblocks alertou que, se não forem tratadas, essas exposições podem permitir que atacantes e insiders maliciosos desviem fundos das wallets de inúmeros clientes varejistas e institucionais em questão de segundos, sem o conhecimento do usuário ou do fornecedor.
A Complexidade das Vulnerabilidades
Embora a Fireblocks admita que ataques que explorem essas vulnerabilidades poderiam ter sido viáveis, a empresa afirma que sua natureza complexa tornou difícil identificá-las antes da divulgação. O CEO da Fireblocks, Michael Shaulov, garantiu que a probabilidade de um ator malicioso descobrir essas vulnerabilidades antes de sua divulgação é incrivelmente baixa.
Para usuários de wallets de MPC preocupados em usar uma wallet vulnerável, Shaulov sugeriu entrar em contato com a Fireblocks ou preencher um formulário disponível em seu site.
Compreendendo MPC e BitForge
No contexto das wallets de criptomoedas, a tecnologia MPC é projetada para evitar um único ponto de falha. Isso é alcançado criptografando a chave privada do usuário e distribuindo-a entre várias partes, geralmente uma combinação do usuário da wallet, o provedor da wallet e uma terceira parte confiável. Nenhuma entidade única pode desbloquear a wallet sem a ajuda das outras. No entanto, as vulnerabilidades do BitForge poderiam ter permitido que um hacker extraísse a chave privada completa comprometendo apenas um dispositivo, comprometendo assim o aspecto “multipartidário” do MPC.
A Fireblocks forneceu detalhes técnicos das vulnerabilidades do BitForge em um conjunto de relatórios técnicos. Em geral, um atacante que explorasse as vulnerabilidades do BitForge precisaria comprometer o dispositivo de um usuário da wallet ou infiltrar os sistemas internos de outra entidade que possua uma parte da chave privada criptografada do usuário.
À medida que navegamos nessas águas complexas, ter uma ferramenta confiável para monitorar seus ativos de criptomoedas é essencial. É aí que entram plataformas como cryptoview.io, fornecendo insights abrangentes sobre sua carteira de criptomoedas.
