Fireblocks揭示了对主要MPC钱包构成威胁的’BitForge’漏洞

Fireblocks揭示了'BitForge'漏洞对主要MPC钱包的威胁

来源:AdobeStock / Sergey Nivens

加密基础设施公司Fireblocks发现了一组名为“BitForge”的漏洞,这些漏洞对使用多方计算(MPC)技术的热门加密钱包构成威胁。

该公司在周三的新闻稿中表示,这些漏洞被归类为“零日漏洞”,意味着在Fireblocks披露之前,受影响软件的开发人员对其并不知晓。

CoinbaseZenGoBinance这样的大公司已与Fireblocks合作解决这些漏洞,以防止潜在的攻击。

Fireblocks在公告中表示,攻击者可以利用这些漏洞在“几秒钟内从数百万零售和机构客户的钱包中转移资金,而用户和供应商完全不知情。”

一般来说,要利用这些漏洞,攻击者需要入侵钱包用户的设备,或者侵入钱包服务的内部系统,或者侵入具有对加密私钥的访问权限的第三方托管服务。

具体的步骤取决于所使用的钱包。

Fireblocks还确定了其他可能受到影响的团队,并通过业界标准的90天负责任披露流程与他们取得了联系。

Fireblocks的首席执行官Michael Shaulov表示,尽管这些漏洞可能已被利用,但攻击的复杂性使得恶意行为者在Fireblocks披露之前发现它们的可能性很小。

BitForge漏洞破坏MPC钱包的安全性

尽管这些漏洞可能已在主要钱包中修补,但此事件引发了对所谓的超安全多方计算(MPC)钱包的安全性的担忧。

加密钱包中的MPC技术旨在通过将用户的私钥分割给多个参与方(如钱包用户、钱包提供商和可信任的第三方),消除单一故障点。

没有任何单一实体可以在没有其他参与方帮助的情况下解锁钱包。

然而,如果黑客入侵了一个设备,BitForge漏洞将允许其提取完整的私钥,破坏MPC的多方计算特性。

Coinbase表示,其面向用户的钱包服务Coinbase Wallet没有受到影响,但其作为服务的钱包(WaaS)在修复之前技术上是脆弱的。

Coinbase声称,Fireblocks发现的这些漏洞在其情况下极难被利用,因为它需要在Coinbase基础设施中有一个恶意服务器来诱使用户发起多个经过身份验证的签名请求。

“虽然Coinbase的客户和资金从未面临风险,但保持完全无信任的加密模型是任何MPC实施的重要方面,”Coinbase的首席信息安全官Jeff Lunglhofer说。

同样,Binance首席执行官Changpeng Zhao透露,“这个问题存在于Binance开源的TSS库中”,并已得到修复。