В мире криптоинфраструктуры было обнаружено тревожное открытие фирмой Fireblocks, специализирующейся на криптовалютных решениях для предприятий. Они раскрыли серию уязвимостей нулевого дня, влияющих на ведущие кошельки MPC, совокупно известных как «BitForge». Эти уязвимости, которые не были обнаружены разработчиками программного обеспечения до раскрытия Fireblocks, затрагивают ряд известных криптокошельков, использующих технологию многопартийных вычислений (MPC).
Влияние BitForge
Среди наиболее заметных компаний, пострадавших от BitForge, следует отметить три крупные компании: Coinbase, ZenGo и Binance. Fireblocks уже сотрудничает с этими компаниями для снижения их уязвимости к возможным эксплуатациям. Кроме того, Fireblocks активно определяет и связывается с другими потенциально затронутыми командами, следуя общепринятому стандарту ответственного раскрытия в течение 90 дней.
Хотя эти конкретные уязвимости могут быть устранены в основных кошельках, это происшествие вызывает серьезные опасения относительно безопасности так называемых ультра-надежных кошельков MPC. Fireblocks предупреждал, что если эти уязвимости останутся незатронутыми, злоумышленники и злонамеренные внутренние сотрудники смогут в считанные секунды выкачать средства из кошельков бесчисленного количества розничных и институциональных клиентов, неизвестно для пользователя или продавца.
Сложность уязвимостей
Хотя Fireblocks признает, что атаки, использующие эти уязвимости, были бы возможны, компания утверждает, что их сложная природа затрудняла их выявление до раскрытия. Генеральный директор Fireblocks Майкл Шаулов заверил, что вероятность злонамеренного актера обнаружить эти уязвимости до их раскрытия крайне низкая.
Для пользователей кошельков MPC, беспокоящихся о возможном использовании уязвимого кошелька, Шаулов предложил обратиться в Fireblocks или заполнить форму, доступную на их веб-сайте.
Понимание MPC и BitForge
В контексте криптокошельков технология MPC разработана для предотвращения единой точки отказа. Это достигается путем шифрования приватного ключа пользователя и его распределения между несколькими сторонами, обычно комбинацией пользователя кошелька, поставщика кошелька и доверенной третьей стороны. Ни одно отдельное лицо не может разблокировать кошелек без помощи других. Однако уязвимости BitForge могли позволить хакеру извлечь полный приватный ключ, скомпрометировав только одно устройство, тем самым подрывая «многопартийный» аспект MPC.
Fireblocks предоставил технические детали уязвимостей BitForge в наборе технических отчетов. В общем, злоумышленник, эксплуатирующий уязвимости BitForge, должен был скомпрометировать устройство пользователя кошелька или внедриться во внутренние системы другой организации, удерживающей часть зашифрованного приватного ключа пользователя.
В этой сложной обстановке надежный инструмент для отслеживания ваших криптоактивов является важным. Вот где приходят на помощь платформы, такие как cryptoview.io, предоставляющие всесторонний обзор вашего крипто-портфеля.
