Verichains afslører kritiske sikkerhedssårbarheder i TSS- og MPC-protokoller

Hovedpunkter:

• Virksomheden fandt ud af, at næsten alle TSS-applikationer er sårbare over for akutte gendannelsesangreb og identificerede nøgleudtrækningsangreb i MPC-protokollen.
• Verichains testede aktivstyring på tværs af kæder og ikke-depotnøgleinfrastruktur i mange populære tegnebøger, udtrak fulde private nøgler uden at efterlade et spor og mener, at over 8 mia. USD af total værdi låst (TVL) er i fare.
• Virksomheden opfordrer platforme og projekter, der er afhængige af ECDSA, til at prioritere implementering af robuste sikkerhedsforanstaltninger.

Verichains er en førende udbyder af blockchain-sikkerhedsløsninger med speciale i perimetersikkerhed, kodeaudit, kryptoanalyse og hændelsesundersøgelse. Ved at undersøge tærskelværdien for ECDSA-sikkerhed siden oktober 2022 fandt Verichains ud af, at næsten alle TSS-applikationer (Threshold Signature Schemes) er sårbare over for nøglegendannelsesangreb. I dag fandt de kritiske Key Extraction Attacks i TSS, Multi-Party Computing (MPC) protokollen.

Førende sikkerhedsfirmaer kører TSS'er gennem flere revisioner, men opdager ikke de sikkerhedsproblemer, som Verichains fandt. TSS er en kryptografisk protokol, der gør det muligt for en gruppe parter at oprette en signatur på en besked uden at afsløre deres private nøgler. Blockchain-teknologi sikrer sikkerheden og tilgængeligheden af ​​midler med denne applikation. Med TSS er midler decentraliseret og kontrolleret af en distribueret gruppe af underskrivere, der samarbejder om at autorisere transaktioner.

Multi-Party Computing (MPC) system, hvor TSS bruges som en protokol, bruges af mange store finansielle og blockchain institutioner til at sikre digitale aktiver. Disse institutioner inkluderer Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase og andre. Mange institutioner implementerer MPC-protokoller for tærskel-ECDSA baseret på GG18-, GG20- og CGGMP21-algoritmer.

Over $8 milliarder TVL truet

Verichains skabte proof-of-koncept-angreb på aktivforvaltning på tværs af kæder og ikke-depotnøgleinfrastruktur i mange populære tegnebøger i sine tests. De udtrak den fulde private nøgle uden at efterlade spor i angrebene og fremstå som uskyldige over for andre parter. Virksomheden oplyser, at TVL for mindst 8 milliarder dollars er i fare.

Thanh Nguyen, Verichains medstifter og tidligere CPU-sikkerhedsleder hos Intel, sagde: "Verichains har en stærk forpligtelse til ansvarlig afsløring af sårbarhed, og vi tager omhyggelige og overvejede skridt, når vi afslører angreb, især i betragtning af den brede vifte af berørte projekter og betydelige brugere midler i fare."

Holdet opfordrer platforme og projekter, der er afhængige af ECDSA, til at prioritere implementering af robuste sikkerhedsforanstaltninger. De står klar til at hjælpe med at sikre sikkerheden på platformene. Ved at underrette potentielle applikationer, der kan blive påvirket af angrebene, vil Verichains frigive detaljer om testangrebene, når sårbarhederne er afhjulpet.

Virksomheden blev grundlagt i 2017 og har hjulpet med at undersøge og rette sikkerhedsproblemer i de mest fremtrædende kryptoangreb, herunder Ronin Bridge og BNB Bridge. I december 2022 opdagede Verichains først Sårbarhed for udtrækning af privat nøgle i fastMPC's Secure Multi-Party Client af Multichain.

Adnan er en kryptoentusiast, der altid holder øje med den seneste udvikling i kryptoøkosystemet. Han er miljøingeniør og arbejder på sin MBA og har fulgt innovationer inden for FinTech i flere år. Adnan producerer skriftligt indhold for at gennemgå kryptoprojekter og støtte kryptofællesskabet.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/