BitGo آسیب پذیری حیاتی را که برای اولین بار توسط Fireblocks کشف شد، اصلاح می کند

کیف پول ارزهای دیجیتال BitGo یک آسیب‌پذیری مهم را اصلاح کرده است که می‌توانست کلیدهای خصوصی کاربران خرده‌فروشی و سازمانی را فاش کند.

تیم تحقیقاتی رمزنگاری Fireblocks نقص را شناسایی کرد و در دسامبر 2022 به تیم BitGo اطلاع داد. این آسیب‌پذیری مربوط به کیف پول‌های BitGo Threshold Signature Scheme (TSS) بود و پتانسیل افشای کلیدهای خصوصی صرافی‌ها، بانک‌ها، کسب‌وکارها و کاربران این پلتفرم را داشت.

تیم Fireblocks این آسیب‌پذیری را BitGo Zero Proof Vulnerability نامید که به مهاجمان احتمالی اجازه می‌دهد تا با استفاده از مقدار کمی کد جاوا اسکریپت، کلید خصوصی را در کمتر از یک دقیقه استخراج کنند. BitGo این سرویس آسیب‌پذیر را در 10 دسامبر به حالت تعلیق درآورد و در فوریه 2023 وصله‌ای منتشر کرد که نیازمند به‌روزرسانی‌های سمت کلاینت به آخرین نسخه تا 17 مارس بود.

تیم Fireblocks نحوه شناسایی اکسپلویت را با استفاده از یک حساب رایگان BitGo در شبکه اصلی توضیح داد. بخش مفقود شده از مدارک اجباری دانش صفر در پروتکل کیف پول ECDSA TSS BitGo به تیم اجازه داد تا کلید خصوصی را از طریق یک حمله ساده افشا کند.

پلتفرم‌های دارایی‌های ارز دیجیتال استاندارد در سطح سازمانی از محاسبات چند جانبه (MPC/TSS) یا فناوری چند امضایی برای حذف احتمال یک نقطه حمله استفاده می‌کنند. این کار با توزیع یک کلید خصوصی بین چندین طرف انجام می شود تا در صورت به خطر افتادن یک طرف، از کنترل های امنیتی اطمینان حاصل شود.

Fireblocks توانست ثابت کند که مهاجمان داخلی یا خارجی می توانند از دو طریق ممکن به یک کلید خصوصی کامل دسترسی پیدا کنند.

یک کاربر در معرض خطر در سمت کلاینت می تواند یک تراکنش را برای به دست آوردن بخشی از کلید خصوصی موجود در سیستم BitGo آغاز کند. سپس BitGo قبل از به اشتراک گذاشتن اطلاعاتی که قطعه کلید BitGo را درز می کند، محاسبه امضا را انجام می دهد.

مهاجم اکنون می تواند کلید خصوصی کامل را بازسازی کند، آن را در یک کیف پول خارجی بارگیری کند و وجوه را بلافاصله یا در مرحله بعد برداشت کند.
سناریوی دوم در صورت به خطر افتادن BitGo، حمله را در نظر گرفت. مهاجم منتظر می ماند تا مشتری معامله ای را آغاز کند و سپس با یک مقدار مخرب پاسخ دهد. سپس از این برای امضای تراکنش با خرده کلید مشتری استفاده می شود. مهاجم می‌تواند از پاسخ برای فاش کردن قطعه کلید کاربر استفاده کند، قبل از اینکه آن را با قطعه کلید BitGo ترکیب کند تا کنترل کیف پول را در دست بگیرد.

Fireblocks خاطرنشان کرد که هیچ حمله ای توسط بردار شناسایی شده انجام نشده است، اما به کاربران هشدار داد که قبل از وصله، ایجاد کیف پول های جدید و انتقال وجه از کیف پول های ECDSA TSS BitGo را در نظر بگیرند.

هک کیف پول در سال های اخیر در سراسر صنعت ارزهای دیجیتال رایج بوده است. در آگوست 2022، بیش از 8 میلیون دلار از بیش از 7000 کیف پول Slope مبتنی بر Solana تخلیه شد. سرویس کیف پول شبکه Algorand MyAlgo نیز هدف یک هک کیف پول قرار گرفت که منجر به تخلیه بیش از 9 میلیون دلار از کیف پول های مختلف شد.