Kripto altyapı şirketi güvenlik duvarı ” olarak bilinen bir dizi güvenlik açığı belirledi.BitForgeYorumkullanan popüler kripto cüzdanları için tehdit oluşturan çok parçalı hesaplama (MPC) teknoloji.
Bu güvenlik açıkları sıfır gün olarak sınıflandırıldı, yani Fireblocks bunları ifşa etmeden önce etkilenen yazılımın geliştiricileri tarafından bilinmiyordu. Çarşamba günü yaptığı basın açıklamasında.
gibi büyük şirketler Coinbase, zenciVe Binance güvenlik açıklarını düzeltmek ve potansiyel istismarları önlemek için Fireblocks ile birlikte çalıştı.
Duyuruda Fireblocks, saldırganların güvenlik açıklarını “kullanıcının veya sağlayıcının bilgisi olmadan saniyeler içinde milyonlarca bireysel ve kurumsal müşterinin” cüzdanlarından para çekmek için kullanmış olabileceklerini söyledi.
Tipik olarak, bir saldırganın bu güvenlik açıklarından yararlanmak için, bir cüzdan kullanıcısının cihazını tehlikeye atması veya cüzdan hizmetinin dahili sistemlerine veya şifrelenmiş özel anahtarın bir kısmına erişimi olan üçüncü taraf bir koruyucuya girmesi gerekir.
Belirli adımlar, kullanılan cüzdana bağlıydı.
Fireblocks ayrıca etkilenebilecek diğer ekipleri belirledi ve sektör standardı 90 günlük sorumlu ifşa süreci aracılığıyla onlara ulaştı.
Fireblock CEO’su Michael Chaulov güvenlik açıklarından yararlanılabileceğini ancak saldırıların karmaşıklığının, Fireblocks tarafından ifşa edilmeden önce kötü niyetli aktörler tarafından keşfedilme olasılığının düşük olduğunu söyledi.
BitForge güvenlik açığı, MPC cüzdanlarının güvenliğini tehlikeye atıyor
Güvenlik açıkları büyük cüzdanlarda yamalanmış olsa da olay, sözde ultra güvenli Çok Taraflı Bilgi İşlem (MPC) cüzdanlarının güvenliği hakkında endişeleri artırıyor.
Kripto cüzdanlarındaki MPC teknolojisi, bir kullanıcının özel anahtarını cüzdan kullanıcısı, cüzdan sağlayıcı ve güvenilir bir üçüncü taraf gibi birden fazla taraf arasında bölerek tek hata noktalarını ortadan kaldırmak için tasarlanmıştır.
Hiçbir varlık, diğerlerinin yardımı olmadan cüzdanın kilidini açamaz.
Bununla birlikte, BitForge güvenlik açıkları, bir bilgisayar korsanının yalnızca tek bir aygıtı tehlikeye atması durumunda tam özel anahtarı çıkarmasına izin vererek MPC’nin çok taraflı yönünü baltalayabilirdi.
Coinbase, kullanıcıya yönelik cüzdan hizmeti Coinbase Wallet’ın etkilenmediğini, ancak Hizmet Olarak Cüzdan (WaaS) teklifinin, şirket bir yama uygulamadan önce teknik olarak savunmasız olduğunu söyledi.
Coinbase, Fireblocks tarafından keşfedilen güvenlik açıklarından yararlanmanın son derece zor olacağını iddia etti, çünkü kullanıcıları çok sayıda kimliği doğrulanmış imza isteği başlatmaları için kandırmak için Coinbase’in altyapısındaki kötü amaçlı bir sunucu gerekir.
Coinbase’in Baş Güvenlik Sorumlusu Jeff Lunglhofer, “Coinbase’in müşterileri ve fonları hiçbir zaman risk altında olmasa da, tamamen güvene dayalı olmayan bir kripto modelini sürdürmek, herhangi bir MPC uygulamasının önemli bir yönüdür” dedi.
Benzer şekilde, Binance CEO’su Changpeng Zhao sorunun “açık kaynaklı Binance TSS Kitaplığı’nda mevcut olduğunu” ortaya çıkardı ve bu sorun düzeltildi.