Nach Angaben des Digital-Asset-Infrastrukturunternehmens Fireblocks weisen über 15 weit verbreitete Krypto-Wallet-Anbieter und -Projekte klaffende Schwachstellen auf, die möglicherweise dazu führen könnten, dass Millionen von Krypto-Wallets ausgelaugt werden.
In einer Presse vom 9. August freigebenLaut Fireblocks betrifft die Reihe von Schwachstellen mit dem Namen BitForge Wallets, die die Multi-Party-Computing-Technologie (MPC) verwenden, die es mehreren Parteien ermöglicht, Kryptowährungsbestände zu kontrollieren und zu verwalten.
1/ Das Fireblocks-Forschungsteam hat BitForge aufgedeckt, eine Reihe von Schwachstellen in einigen der am weitesten verbreiteten MPC-Protokolle, die es einem Angreifer ermöglichen, einen privaten Schlüssel von einem einzelnen Gerät abzurufen. Lesen Sie weiter → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
– Fireblocks (@FireblocksHQ) 9. August 2023
Die identifizierten Probleme wurden als „Zero-Day“-Schwachstellen offengelegt – was bedeutet, dass die Schwachstellen zuvor von den Projekten nicht identifiziert worden waren.
„Wenn nicht behoben wird, können Angreifer und böswillige Insider in Sekundenschnelle Gelder aus den Geldbörsen von Millionen privater und institutioneller Kunden abziehen, ohne dass der Benutzer oder Anbieter davon Kenntnis erhält.“
Das Unternehmen gab bekannt, dass die BitForge-Schwachstellen viele der führenden Wallet-Anbieter betrafen, darunter Coinbase, Zengo und Binance. Nach einer branchenüblichen „90-tägigen Offenlegungsfrist“ von Fireblocks haben die drei Unternehmen seitdem die identifizierten Probleme gelöst.
In einer Erklärung dankte Jeff Lunglhofer, Chief Information Security Officer von Coinbase, Fireblocks für die Identifizierung und verantwortungsvolle Offenlegung des Problems und fügte hinzu, dass Coinbase-Kunden und -Gelder nie gefährdet seien. Tal Be’ery, CTO von Zengo, stellte fest, dass das Problem umgehend behoben wurde und keine Benutzergelder betroffen waren.
3/ Wir möchten den Forschern von Fireblocks dafür danken, dass sie dieses Problem identifiziert, eine ethische Offenlegung durchgeführt und zur Verbesserung der Sicherheit des Ökosystems beigetragen haben.
— Coinbase Cloud ️ (@CoinbaseCloud) 9. August 2023
Fireblocks sagte, es habe daran gearbeitet, andere Firmen zu identifizieren, die möglicherweise in ähnliche Sicherheitsbedenken verwickelt seien, und sich an sie gewandt.
MPC-Wallets verschlüsseln den privaten Schlüssel eines Benutzers und geben ihn an mehrere Parteien weiter – typischerweise bestehend aus dem Wallet-Eigentümer, einem Wallet-Anbieter und einem weiteren Dritten. Theoretisch sollte keine dieser Entitäten in der Lage sein, die Wallet zu entsperren, ohne zuvor mit den anderen zu kommunizieren.
Verwandt: Die Börse von Tel Aviv bietet Kryptodienste über den Fireblocks-Pakt an
Allerdings laut der technischen Daten von Fireblocks Berichte In Bezug auf die BitForge-Schwachstellen hätten die Schwachstellen es Hackern ermöglicht, „den vollständigen privaten Schlüssel zu extrahieren, wenn sie nur ein Gerät kompromittieren könnten“.
„Wir sind zwar ermutigt zu sehen, dass MPC mittlerweile in der Digital-Asset-Branche allgegenwärtig ist, aber aus unseren Erkenntnissen – und unserem anschließenden Offenlegungsprozess – geht hervor, dass nicht alle MPC-Entwickler und -Teams gleich geschaffen sind“, sagte Fireblocks CTO und Mitbegründer Pavel Berengoltz.
„Unternehmen, die Web3-Technologie nutzen, sollten eng mit Sicherheitsexperten zusammenarbeiten, die über das Know-how und die Ressourcen verfügen, um Schwachstellen immer einen Schritt voraus zu sein und diese zu mindern“, fügte er hinzu.
Einlagenrisiko: Was machen Krypto-Börsen wirklich mit Ihrem Geld?