- Zraniteľnosť BitGo Zero Proof je to, čo tím Fireblocks nazval chybou.
- Tím Fireblocks podrobne popísal objavenie chyby pomocou bezplatného účtu na hlavnej sieti BitGo.
BitGo, populárna kryptomenová peňaženka, opravila vážnu chybu, ktorá mohla odhaliť súkromné kľúče jej maloobchodných a inštitucionálnych používateľov.
V decembri 2022 výskumný tím kryptografie Fireblocks objavil zraniteľnosť a informoval o tom BitGo. Peňaženky BitGo Threshold Signature Scheme (TSS) boli náchylné na chybu, ktorá mohla ohroziť súkromné kľúče používateľov platformy, búrz, bánk a firiem.
Inovujte na najnovšiu verziu
Zraniteľnosť BitGo Zero Proof Vulnerability je to, čo tím Fireblocks nazval chybou, ktorá by mohla umožniť útočníkovi ukradnúť súkromný kľúč používateľa za menej ako minútu pomocou niekoľkých riadkov kódu JavaScript. Po zistení bezpečnostnej chyby 10. decembra BitGo službu okamžite deaktivoval a vo februári 2023 vydal opravu, ktorá nariaďuje, aby všetci klienti upgradovali na najnovšiu verziu do 17. marca.
Tím Fireblocks podrobne popísal objavenie chyby pomocou bezplatného účtu na hlavnej sieti BitGo. Protokol peňaženky BitGo ECDSA TSS mal chybu, ktorá ho robila zraniteľným voči triviálnemu útoku, pretože mu chýbal požadovaný dôkaz o nulových znalostiach.
Fireblocks demonštrovali, že existujú dva spôsoby, ako môže útočník, či už interný alebo externý, získať úplný súkromný kľúč.
Ktokoľvek s prístupom na stranu klienta môže iniciovať transakciu s cieľom ukradnúť časť súkromného kľúča uloženého v systéme BitGo. Po výpočte podpisu by BitGo unikol zlomok kľúča BitGo zverejnením citlivých informácií.
Fireblocks však používateľom odporučil, aby zvážili otvorenie nových peňaženiek a prevod prostriedkov z peňaženiek ECDSA BitGo ešte pred vydaním opravy, aj keď neboli vykonané žiadne útoky s použitím nahlásenej zraniteľnosti.
Zdroj: https://thenewscrypto.com/crypto-wallet-bitgo-fixes-serious-flaw-that-could-expose-users-private-keys/