BitGo patcht kritische Schwachstelle, die zuerst von Fireblocks entdeckt wurde

Die Kryptowährungs-Brieftasche BitGo hat eine kritische Schwachstelle gepatcht, die die privaten Schlüssel von Einzelhandels- und institutionellen Benutzern offengelegt haben könnte.

Kryptographie-Forschungsteam Fireblocks identifiziert den Fehler und benachrichtigte das BitGo-Team im Dezember 2022. Die Schwachstelle bezog sich auf BitGo Threshold Signature Scheme (TSS)-Wallets und hatte das Potenzial, die privaten Schlüssel von Börsen, Banken, Unternehmen und Benutzern der Plattform offenzulegen.

Das Fireblocks-Team nannte die Schwachstelle BitGo Zero Proof Vulnerability, die es potenziellen Angreifern ermöglichen würde, einen privaten Schlüssel in weniger als einer Minute mit einer kleinen Menge JavaScript-Code zu extrahieren. BitGo setzte den anfälligen Dienst am 10. Dezember aus und veröffentlichte im Februar 2023 einen Patch, der clientseitige Updates auf die neueste Version bis zum 17. März erforderte.

Das Fireblocks-Team erläuterte, wie es den Exploit mithilfe eines kostenlosen BitGo-Kontos im Mainnet identifiziert hat. Ein fehlender Teil der obligatorischen Zero-Knowledge-Beweise im ECDSA-TSS-Wallet-Protokoll von BitGo ermöglichte es dem Team, den privaten Schlüssel durch einen einfachen Angriff offenzulegen.

Siehe auch: Euler Finance wurde bei einem Flash-Darlehensangriff für über 195 Millionen US-Dollar gehackt

Industriestandard-Kryptowährungs-Asset-Plattformen der Enterprise-Klasse verwenden entweder Multiparty-Computation (MPC/TSS) oder Multisignature-Technologie, um die Möglichkeit eines einzelnen Angriffspunkts auszuschließen. Dies geschieht durch die Verteilung eines privaten Schlüssels auf mehrere Parteien, um Sicherheitskontrollen zu gewährleisten, wenn eine Partei kompromittiert wird.

Fireblocks konnte nachweisen, dass interne oder externe Angreifer auf zwei mögliche Arten Zugriff auf einen vollständigen privaten Schlüssel erlangen konnten.

Ein kompromittierter clientseitiger Benutzer könnte eine Transaktion initiieren, um einen Teil des privaten Schlüssels zu erwerben, der im System von BitGo gespeichert ist. BitGo würde dann die Signaturberechnung durchführen, bevor Informationen geteilt werden, die den BitGo-Schlüsselsplitter preisgeben.

„Der Angreifer kann nun den vollständigen privaten Schlüssel rekonstruieren, in ein externes Wallet laden und das Geld sofort oder zu einem späteren Zeitpunkt abheben.“

Das zweite Szenario betrachtete einen Angriff, wenn BitGo kompromittiert wurde. Ein Angreifer würde darauf warten, dass ein Kunde eine Transaktion initiiert, bevor er mit einem böswilligen Wert antwortet. Diese wird dann verwendet, um die Transaktion mit dem Schlüssel-Shard des Kunden zu signieren. Der Angreifer kann die Antwort verwenden, um den Schlüssel-Shard des Benutzers preiszugeben, bevor er diesen mit dem Schlüssel-Shard von BitGo kombiniert, um die Kontrolle über die Brieftasche zu übernehmen.

Fireblocks stellte fest, dass keine Angriffe durch den identifizierten Vektor durchgeführt wurden, warnte die Benutzer jedoch davor, vor dem Patch die Erstellung neuer Wallets und die Übertragung von Geldern aus ECDSA TSS BitGo-Wallets in Betracht zu ziehen

Hacks von Wallets waren in den letzten Jahren in der Kryptowährungsbranche alltäglich. Im August 2022 wurden über 8 Millionen US-Dollar aus über 7.000 in Solana ansässigen Slope-Wallets abgezogen. Der Algorand-Netzwerk-Wallet-Service MyAlgo wurde auch Ziel eines Wallet-Hacks, bei dem über 9 Millionen US-Dollar aus verschiedenen hochkarätigen Wallets abgezogen wurden.