Kripto para cüzdanı BitGo, perakende ve kurumsal kullanıcıların özel anahtarlarını açığa çıkarabilecek kritik bir güvenlik açığını yamaladı.
Şifreleme araştırma ekibi Fireblocks tanımlanmış Güvenlik açığı, BitGo Threshold Signature Scheme (TSS) cüzdanlarıyla ilgiliydi ve borsaların, bankaların, işletmelerin ve platform kullanıcılarının özel anahtarlarını ifşa etme potansiyeline sahipti.
Fireblocks ekibi güvenlik açığını, potansiyel saldırganların az miktarda JavaScript kodu kullanarak bir dakikadan kısa sürede özel bir anahtar elde etmesine olanak tanıyan BitGo Sıfır Koruma Güvenlik Açığı olarak adlandırdı. BitGo, güvenlik açığı bulunan hizmeti 10 Aralık’ta askıya aldı ve Şubat 2023’te, 17 Mart’a kadar istemci tarafında en son sürüme güncelleme yapılmasını gerektiren bir yama yayınladı.
Fireblocks ekibi, ana ağda ücretsiz bir BitGo hesabı kullanarak açıktan yararlanmayı nasıl tanımladığını özetledi. BitGo’nun ECDSA TSS cüzdan protokolündeki zorunlu sıfır bilgi kanıtlarının eksik bir parçası, ekibin özel anahtarı basit bir saldırı yoluyla ifşa etmesine olanak sağladı.
İlgili: Euler Finance, ani bir kredi saldırısında 195 milyon doların üzerinde hacklendi
Endüstri standardı kurumsal sınıf kripto para birimi varlık platformları, tek bir saldırı noktası olasılığını ortadan kaldırmak için çok taraflı hesaplama (MPC/TSS) veya çoklu imza teknolojisini kullanır. Bu, bir tarafın güvenliği ihlal edildiğinde güvenlik kontrollerini sağlamak için birden fazla taraf arasında özel bir anahtar dağıtılarak yapılır.
Fireblocks, dahili veya harici saldırganların tam bir özel anahtara iki olası yolla erişebileceğini kanıtlayabildi.
Güvenliği ihlal edilmiş bir istemci tarafı kullanıcısı, BitGo’nun sisteminde tutulan özel anahtarın bir kısmını almak için bir işlem başlatabilir. BitGo daha sonra, BitGo anahtar parçasını sızdıran bilgileri paylaşmadan önce imzalama hesaplamasını gerçekleştirir.
“Saldırgan artık tam özel anahtarı yeniden oluşturabilir, harici bir cüzdana yükleyebilir ve fonları hemen veya daha sonraki bir aşamada çekebilir.”
İkinci senaryo, BitGo’nun güvenliğinin ihlal edilmesi durumunda bir saldırı olarak kabul edildi. Saldırgan, kötü amaçlı bir değerle yanıt vermeden önce müşterinin bir işlem başlatmasını bekler. Bu daha sonra işlemi müşterinin anahtar parçasıyla imzalamak için kullanılır. Saldırgan, cüzdanın kontrolünü ele geçirmek için bunu BitGo’nun anahtar parçasıyla birleştirmeden önce, yanıtı kullanıcının anahtar parçasını ortaya çıkarmak için kullanabilir.
Fireblocks, tanımlanan vektör tarafından herhangi bir saldırı gerçekleştirilmediğini kaydetti, ancak kullanıcıları yama öncesinde yeni cüzdanlar oluşturmayı ve ECDSA TSS BitGo cüzdanlarından para taşımayı düşünmeleri konusunda uyardı.
Son yıllarda kripto para birimi endüstrisinde cüzdanların hacklenmesi olağan hale geldi. Ağustos 2022’de 8 milyon doların üzerinde su tahliye edildi 7.000’den fazla Solana tabanlı Slope cüzdanından. Algorand ağ cüzdanı hizmeti MyAlgo, çeşitli yüksek profilli cüzdanlardan 9 milyon dolardan fazla aktığını gören bir cüzdan saldırısı tarafından da hedef alındı.