Fireblocks заявила, что уязвимости, затрагивающие Coinbase, Binance и Zengo, с тех пор были исправлены и распространились на более чем 12 других, все еще подверженных риску.
По данным Fireblocks, занимающейся инфраструктурой цифровых активов, более 15 широко используемых поставщиков крипто-кошельков и проектов имеют серьезные уязвимости, которые потенциально могут привести к потере миллионов крипто-кошельков.
В августе. в пресс-релизе от 9 декабря Fireblocks говорится, что серия уязвимостей, получившая название BitForge, затрагивает кошельки, использующие технологию многопользовательских вычислений (MPC), которая позволяет нескольким сторонам контролировать запасы криптовалюты и управлять ими.
1 / Исследовательская группа Fireblocks обнаружила BitForge, набор уязвимостей в некоторых из наиболее широко распространенных протоколов MPC, которые позволяют злоумышленнику получить закрытый ключ с одного устройства. Читайте дальше → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) 9 августа 2023 года
Выявленные проблемы были раскрыты как уязвимости “нулевого дня”, что означает, что недостатки ранее не были выявлены проектами.
“Если ее не устранить, разоблачения позволят злоумышленникам и злоумышленным инсайдерам выводить средства из кошельков миллионов розничных и институциональных клиентов за считанные секунды, без ведома пользователя или поставщика”.
Фирма сообщила, что уязвимости BitForge затронули многих ведущих поставщиков кошельков, включая Coinbase, Zengo и Binance. После стандартного для отрасли “90-дневного периода раскрытия информации” от Fireblocks три фирмы с тех пор решили выявленные проблемы.
В заявлении директор по информационной безопасности Coinbase Джефф Лунглхофер поблагодарил Fireblocks за выявление и ответственное раскрытие проблемы, добавив, что клиенты и средства Coinbase никогда не подвергались риску. Технический директор Zengo Тал Беери отметил, что проблема была оперативно устранена, и никакие средства пользователей не пострадали.
3 / Мы хотим выразить нашу благодарность исследователям Fireblocks за выявление этой проблемы, проведение этического раскрытия и помощь в повышении безопасности экосистемы.
— Coinbase Cloud ️ (@CoinbaseCloud) 9 августа 2023 года
Fireblocks заявила, что работала над выявлением других фирм, которые могут быть замешаны в аналогичных проблемах безопасности, и связалась с ними.
Кошельки MPC шифруют закрытый ключ пользователя и передают его нескольким сторонам, обычно состоящим из владельца кошелька, поставщика кошелька и другой третьей стороны. Теоретически, ни одна из этих организаций не должна иметь возможности разблокировать кошелек без предварительного общения с другими.
Однако, согласно техническим отчетам Fireblocks об уязвимостях BitForge, уязвимости позволили бы хакерам “извлечь полный закрытый ключ, если бы они смогли скомпрометировать только одно устройство”.
“Хотя мы воодушевлены тем, что MPC в настоящее время широко распространен в индустрии цифровых активов, из наших выводов — и нашего последующего процесса раскрытия — очевидно, что не все разработчики и команды MPC созданы равными”, - сказал технический директор Fireblocks и соучредитель Павел Беренгольц.
“Компании, использующие технологию Web3, должны тесно сотрудничать с экспертами по безопасности, обладающими ноу-хау и ресурсами, чтобы опережать и смягчать уязвимости”, - добавил он.
" 
