En résumé
- Fireblocks révèle une vulnérabilité dans les portefeuilles Ethereum de BitGo qui utilisent le schéma de signature Threshold de la société.
- Les utilisateurs concernés comprennent les échanges, les banques et les marques Web3 notables avec des centaines de milliers d’utilisateurs.
- BitGo a corrigé la vulnérabilité et demande à ses clients de mettre à jour la dernière version d’ici le 17 mars, mais Fireblocks reste préoccupé par d’éventuels exploits antérieurs.
Note de l’éditeur : cet article a été mis à jour pour inclure les commentaires de BitGo.
L’équipe de recherche sur la crypto-monnaie du fournisseur d’infrastructure blockchain Fireblocks a publié aujourd’hui les détails d’une vulnérabilité dans les portefeuilles de crypto-monnaie. éthéré de BitGo qui utilisent le Threshold Signature Scheme (TSS) de l’entreprise.
La vulnérabilité a été révélée début décembre, un peu plus d’un mois après la publication du service.
Après avoir confirmé les détails techniques de la vulnérabilité, BitGo a suspendu le service le 10 décembre et a publié un correctif de mise à jour en février. La société basée à Palo Alto a également demandé à ses clients de mettre à jour la dernière version avant le 17 mars.
Selon Fireblocks, la vulnérabilité aurait pu permettre à un attaquant d’extraire une clé privée entière en utilisant une seule signature et quelques secondes de calcul, en contournant toutes les fonctionnalités de sécurité de BitGo.
Bien que Fireblocks ait affirmé avoir suivi un processus de « divulgation coordonnée » entre son équipe d’enquête et l’équipe de sécurité de BitGo, BitGo a fermement réfuté la caractérisation des faits par Fireblocks. Dans une déclaration fournie à DécrypterBitGo a accusé Fireblocks de « transformer une brèche connue en un coup publicitaire », ajoutant que « ce n’est pas ainsi que les divulgations coordonnées sont censées fonctionner ».
BitGo a déclaré que « le type spécifique de portefeuille MPC en question est en accès anticipé et reste en accès anticipé, uniquement déverrouillé pour 20 développeurs ». BitGo a ajouté que le portefeuille en question était un « produit de pré-version » et que Fireblocks l’avait qualifié à tort comme étant en production, « parce qu’ils l’ont testé sur le réseau principal en utilisant le site Web de BitGo (en ignorant tous les avertissements indiquant qu’il provenait d’un accès anticipé).
La société de sécurité et de conservation des actifs numériques BitGo, dont les clients incluent certains des plus grands noms de l’industrie de la crypto-monnaie, notamment Bitstamp, Pantera Capital et eToro, entre autres, a introduit pour la première fois les portefeuilles TSS en juin 2022. , et en octobre a ajouté la prise en charge des portefeuilles Ethereum.
La vulnérabilité – surnommée BitGo Zero Proof Vulnerability – découle de l’absence de mise en œuvre de preuves obligatoires à connaissance nulle dans le protocole de portefeuille TSS de BitGo, qui utilise l’algorithme de signature numérique à courbe elliptique (ECDSA).
Les portefeuilles de crypto-monnaie BitGo doivent être mis à jour
La vulnérabilité Zero Proof a été initialement découverte dans BitGoJS, le SDK que les clients BitGo utilisent pour interagir avec l’API BitGo. BitGoJS est utilisé pour effectuer des signatures côté client.
L’exploitation de la vulnérabilité du SDK permet à un attaquant de voler la clé privée partagée utilisée par le client, quelles que soient ses méthodes de stockage de clé et ses mesures de sécurité.
« Tout correctif introduit dans la bibliothèque devrait protéger les portefeuilles qui l’implémentent », a-t-il déclaré. Décrypter Arik Galansky, responsable de la technologie, de la recherche et de l’innovation chez Fireblocks. « Cependant, il reste à craindre que quelqu’un ait déjà exploité la vulnérabilité dans le passé et extrait la clé tout en utilisant une bibliothèque vulnérable. »
« Alors que les attaques contre l’industrie de la crypto-monnaie continuent de s’accélérer, les dépositaires agréés se voient confier la sécurité de milliards de dollars en fonds d’utilisateurs », a déclaré le co-fondateur et CTO de Fireblocks, Idan Ofrat, dans un communiqué. déclaration partagée avec Décrypter. « La vulnérabilité est le résultat du fait que le fournisseur de portefeuille ne suit pas une norme cryptographique bien révisée. »
Bien que les portefeuilles générés après le correctif doivent être sécurisés, selon Fireblocks, les clés de tous les portefeuilles BitGo Ethereum TSS générés avant la mise à jour doivent être considérées comme potentiellement exposées. Par conséquent, tous les fonds de ces portefeuilles de crypto-monnaie doivent être considérés comme à risque et immédiatement transférés vers un portefeuille sécurisé.
Dans un communiqué, BitGo a accusé Fireblocks d' »une litanie de fausses allégations destinées à nuire à la réputation de BitGo, ainsi qu’aux relations commerciales réelles et potentielles de BitGo », ajoutant que la société « poursuivait tous les recours juridiques, y compris, mais sans s’y limiter, les dommages et intérêts , mesures d’injonction, frais de justice et honoraires d’avocat. »