BitGo, un fournisseur de services de portefeuille de crypto-monnaie, a corrigé une vulnérabilité identifiée dent ses portefeuilles Ethereum Une première annonce des portefeuilles chauds ETH TSS a été faite le 31 octobre 2022, avec la promesse d'une baisse des frais d'essence pour les utilisateurs. Les développeurs BitGo sur Github ont transmis une mise à jour le 9 décembre 2022, notant que le service n'avait pas de prise en charge complète pour la vérification par des tiers des partages de clés et des partages de signature.
La société d'infrastructure Blockchain a affirmé avoir dent et notifié BitGo de la vulnérabilité en décembre 2022. Le communiqué de presse de Fireblocks a déclaré que la vulnérabilité aurait pu exposer les clés privées des échanges, des banques, des entreprises et des utilisateurs de la plate-forme.
Cependant, BitGo a depuis nié ces affirmations de Fireblocks via un article de blog , soulignant que sa propre équipe de développeurs avait déjà identifié dent absence de vérification par un tiers et qu'elle figurait sur sa liste de tâches, comme indiqué dans la documentation GitHub. Dans un message à Cryptopolitan clarifiant le problème, le fournisseur de services de portefeuille a souligné que les fonds des utilisateurs ou les clés privées ne risquaient jamais d'être compromis ou divulgués par la vulnérabilité.
BitGo rejette la divulgation de Fireblock
Cryptopolitan comprend que les clients BitGo n'utilisaient pas activement le type de portefeuille MPC pour stocker les actifs de crypto-monnaie au moment où la vulnérabilité a été découverte. Cependant, 20 développeurs, y compris des employés et des contributeurs de BitGo, ont eu accès au portefeuille en accès anticipé, et les ingénieurs de Fireblocks ont pu effectuer des tests en raison de la nature open source du code du portefeuille principal de BitGo.
BitGo avait précédemment révélé un manque de vérification par un tiers des parts de clé et de signature l'année dernière, mais la réponse de la société aux réclamations de Fireblocks était loin d'être élogieuse. Dans l' article de blog , BitGo a qualifié Fireblocks de "concurrent" tentant de transformer une "lacune connue en un coup publicitaire".
Fireblocks a affirmé que la vulnérabilité permettrait aux attaquants potentiels d' trac rapidement une clé privée en utilisant une petite quantité de code JavaScript. La société a déclaré avoir dent l'exploit à l'aide d'un compte BitGo gratuit sur le réseau principal et a révélé qu'une partie manquante des preuves obligatoires à connaissance nulle dans le protocole de portefeuille ECDSA TSS de BitGo permettait à l'équipe d'exposer la clé privée par une simple attaque.
BitGo a réfuté ces affirmations en disant qu'ils avaient suspendu le service vulnérable le 10 décembre 2022 et publié un correctif en février 2023 qui nécessitait des mises à jour côté client vers la dernière version d'ici le 17 mars. Ils ont révélé que seul le portefeuille à accès anticipé était affecté, ce qui aucun de ses clients n'utilise actuellement.
Les plates-formes d'actifs de crypto-monnaie de classe entreprise standard utilisent soit la technologie MPC, soit la technologie multi-signatures pour éliminer la possibilité d'un point d'attaque unique. Cela se fait en distribuant une clé privée entre plusieurs parties pour assurer des contrôles de sécurité si une partie est compromise.
L'industrie de la cryptographie a été confrontée à de nombreux piratages. Cryptopolitan a récemment révélé le piratage d'Euler Finance qui a entraîné la perte d'énormes fonds. En août 2022, plus de 8 millions de dollars ont été volés dans plus de 7 000 portefeuilles sur la Solana . Pendant ce temps, un piratage séparé du service de portefeuille MyAlgo sur le Algorand a vu plus de 9 millions de dollars être détournés de nombreux portefeuilles bien connus.
