Crypto Wallet BitGo corrige une grave faille qui pourrait exposer les clés privées des utilisateurs

• La vulnérabilité BitGo Zero Proof est ce que l’équipe Fireblocks a surnommé la faille.
• L’équipe Fireblocks a détaillé sa découverte de la faille à l’aide d’un compte principal BitGo gratuit.

BitGo, un portefeuille de crypto-monnaie populaire, a corrigé une grave faille qui aurait pu exposer les clés privées de ses utilisateurs particuliers et institutionnels.

En décembre 2022, l’équipe de recherche en cryptographie Fireblocks a découvert la vulnérabilité et en a informé BitGo. Les portefeuilles BitGo Threshold Signature Scheme (TSS) étaient sensibles à la faille, qui aurait pu compromettre les clés privées des utilisateurs, des bourses, des banques et des entreprises de la plateforme.

Mise à niveau vers la version récente

La vulnérabilité BitGo Zero Proof est ce que l’équipe Fireblocks a surnommé la faille qui pourrait permettre à un attaquant de voler la clé privée d’un utilisateur en moins d’une minute avec seulement quelques lignes de code JavaScript. Après avoir découvert la faille de sécurité le 10 décembre, BitGo a immédiatement désactivé le service et publié un correctif en février 2023, exigeant que tous les clients passent à la version la plus récente avant le 17 mars.

L’équipe Fireblocks a détaillé sa découverte de la faille à l’aide d’un compte principal BitGo gratuit. Le protocole de portefeuille BitGo ECDSA TSS présentait une faille qui le rendait vulnérable à une attaque triviale car il lui manquait une preuve de connaissance zéro requise.

Fireblocks a démontré qu’il existe deux façons pour un attaquant, qu’il soit interne ou externe, d’obtenir une clé privée complète.

Toute personne ayant accès au côté client peut initier une transaction pour voler un morceau de la clé privée stockée dans le système de BitGo. Suite au calcul de la signature, BitGo divulguerait le fragment de clé BitGo en divulguant des informations sensibles.

Néanmoins, Fireblocks a conseillé aux utilisateurs d’envisager d’ouvrir de nouveaux portefeuilles et de transférer des fonds depuis les portefeuilles ECDSA BitGo avant la publication du correctif, même si aucune attaque n’a été menée à l’aide de la vulnérabilité signalée.