Fireblocks розкриває вразливості «нульового дня», що впливають на провідні гаманці MPC

Навряд чи користувачі постраждали від уразливостей, які разом називаються «BitForge», але Fireblocks каже, що вони могли б дозволити хакерам «витягнути кошти з гаманців мільйонів роздрібних та інституційних клієнтів за секунди», якщо їх не виправити.

Поділитися цією статтею
The "BitForge" vulnerabilities disclosed by Fireblocks would leave millions of dollars in crypto susceptible to theft if left unremedied. (Kevin Ku/Unsplash)

Fireblocks, фірма, орієнтована на корпоративну Крипто , оприлюднила низку вразливостей, які разом називаються «BitForge», що впливають на різноманітні популярні Крипто , які використовують Технології багатосторонніх обчислень (MPC)..

Фірма класифікувала BitForge як «нульовий день» — це означає, що уразливості T були виявлені розробниками ураженого програмного забезпечення до Повідомлення Fireblocks.

Згідно з даними фірми, Coinbase, ZenGo та Binance – три найбільші компанії, які постраждали від BitForge – уже працювали з Fireblocks, щоб усунути ризик потенційних експлойтів. Fireblocks каже, що працювала над виявленням інших команд, які можуть постраждати, і зв’язалася з ними відповідно до «галузевого стандарту 90-денного процесу відповідального Повідомлення ».

Незважаючи на те, що певні уразливості могли бути виправлені в основних гаманцях, цей епізод викликає потенційно тривожні запитання щодо того, наскільки безпечними насправді є ці нібито надбезпечні гаманці MPC.

«Якщо не усунути викриття, це дозволить зловмисникам і зловмисникам за лічені секунди витягти кошти з гаманців мільйонів роздрібних і інституційних клієнтів, не знаючи ні користувача, ні постачальника», — йдеться в заяві Fireblocks, надісланій CoinDesk.

У той час як Fireblocks каже, що атаки з використанням уразливостей були б «практичними», фірма вважає, що через їхню складність їх важко виявити до Повідомлення в середу. «Я б сказав, що ймовірність того, що хтось – якийсь зловмисник, скажімо, з Північної Кореї, з’ясував це за кілька місяців до того, як ми це з’ясували та розкрили про це постачальникам гаманців – дуже, дуже, дуже низька», – сказав генеральний директор Fireblocks Майкл Шаулов CoinDesk.

Якщо користувачі гаманця MPC хочуть знати, чи можуть вони використовувати вразливий гаманець, Шаулов сказав, що вони можуть зв’язатися з Fireblocks або заповнити форму, яка буде опублікована на його веб-сайті.

Багатостороннє обчислення

У контексті Крипто -гаманців « Технології MPC була в першу чергу розроблена для того, щоб переконатися, що у вас T єдиної точки відмови – приватний ключ не знаходиться на одному сервері чи на одному пристрої», – пояснив Шауров.

Гаманці, які використовують MPC, шифрують особистий ключ користувача та розподіляють його між кількома різними сторонами – як правило, певною комбінацією користувача гаманця, постачальника гаманця та довіреної третьої сторони. Теоретично ONE з цих сутностей не може розблокувати гаманець без допомоги інших.

Відповідно до Fireblocks, уразливості BitForge «дозволили б хакеру отримати повний приватний ключ, якби вони змогли скомпрометувати лише ONE пристрій», підриваючи весь «багатосторонній» аспект MPC.

Як це працювало

Fireblocks виклали технічні деталі вразливостей BitForge у наборі технічних звітів, опублікованих у середу.

Як правило, щоб зловмисник скористався вразливістю BitForge, йому потрібно було б скомпрометувати пристрій користувача гаманця або зламати внутрішні системи когось іншого за допомогою частини зашифрованого приватного ключа користувача – служби гаманця або ONE з цих сторонніх зберігачів.

Подальші кроки залежатимуть від гаманця. Уразливості BitForge були присутні в кількох популярних дослідницьких роботах, які описують, як створювати системи MPC, і різні постачальники гаманців проводили ці дослідження по-різному.

Coinbase каже, що її головний сервіс гаманців, орієнтований на користувачів, Coinbase Wallet, не постраждав від помилок, тоді як Coinbase Wallet-as-a-Service (WaaS), який компанії можуть використовувати для забезпечення своїх власних гаманців MPC, був технічно вразливим до того, як Coinbase реалізувала виправлення.

Згідно з Coinbase, уразливості, виявлені Fireblocks, було б «майже неможливо використати» в цьому випадку – вимагав «зловмисного сервера всередині інфраструктури Coinbase», щоб обманом змусити користувачів «ініціювати сотні запитів на підпис з повною автентифікацією».

«Надзвичайно малоймовірно, що будь-який клієнт захоче проходити через цей виснажливий і ручний процес сотні разів, перш ніж зв’язатися з нами за підтримкою», — заявили в Coinbase.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Чому це важливо:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.