Η Verichains αποκαλύπτει κρίσιμα τρωτά σημεία ασφαλείας στα πρωτόκολλα TSS και MPC

Βασικά χαρακτηριστικά:

• Η εταιρεία διαπίστωσε ότι σχεδόν όλες οι εφαρμογές TSS είναι ευάλωτες σε οξείες επιθέσεις ανάκτησης και εντόπισε επιθέσεις εξαγωγής κλειδιών στο πρωτόκολλο MPC.
• Η Verichains δοκίμασε τη διαχείριση περιουσιακών στοιχείων διασταυρούμενης αλυσίδας και την υποδομή μη θεμελιωδών κλειδιών πολλών δημοφιλών πορτοφολιών, εξάγοντας πλήρη ιδιωτικά κλειδιά χωρίς να αφήσει ίχνος και πιστεύει ότι πάνω από 8 δισ. $ της συνολικής κλειδωμένης αξίας (TVL) κινδυνεύει.
• Η εταιρεία προτρέπει τις πλατφόρμες και τα έργα που βασίζονται στο ECDSA να δώσουν προτεραιότητα στην εφαρμογή ισχυρών μέτρων ασφαλείας.

Verichains είναι κορυφαίος πάροχος λύσεων ασφάλειας blockchain που ειδικεύεται στην περιμετρική ασφάλεια, τους ελέγχους κωδικών, την κρυπτανάλυση και τη διερεύνηση συμβάντων. Ερευνώντας την ασφάλεια κατωφλίου ECDSA από τον Οκτώβριο του 2022, η Verichains διαπίστωσε ότι σχεδόν όλες οι εφαρμογές Threshold Signature Schemes (TSS) είναι ευάλωτες σε επιθέσεις ανάκτησης κλειδιών. Σήμερα, βρήκαν κρίσιμες επιθέσεις εξαγωγής κλειδιού στο TSS, το πρωτόκολλο Υπολογιστών Πολυμερών (MPC).

Οι κορυφαίες εταιρείες ασφαλείας εκτελούν TSS μέσω πολλαπλών ελέγχων, αλλά αποτυγχάνουν να εντοπίσουν τα προβλήματα ασφαλείας που εντόπισε η Verichains. Το TSS είναι ένα κρυπτογραφικό πρωτόκολλο που επιτρέπει σε μια ομάδα μερών να δημιουργήσει μια υπογραφή σε ένα μήνυμα χωρίς να αποκαλύψει τα ιδιωτικά τους κλειδιά. Η τεχνολογία Blockchain διασφαλίζει την ασφάλεια και τη διαθεσιμότητα κεφαλαίων με αυτήν την εφαρμογή. Με το TSS, τα κεφάλαια αποκεντρώνονται και ελέγχονται από μια κατανεμημένη ομάδα υπογράφων που συνεργάζονται για την εξουσιοδότηση συναλλαγών.

Το σύστημα Multi-Party Computing (MPC), στο οποίο το TSS χρησιμοποιείται ως πρωτόκολλο, χρησιμοποιείται από πολλά μεγάλα χρηματοοικονομικά ιδρύματα και ιδρύματα blockchain για την εξασφάλιση ψηφιακών περιουσιακών στοιχείων. Αυτά τα ιδρύματα περιλαμβάνουν τα Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase και άλλα. Πολλά ιδρύματα εφαρμόζουν πρωτόκολλα MPC για το όριο ECDSA με βάση τους αλγόριθμους GG18, GG20 και CGGMP21.

Πάνω από 8 δισεκατομμύρια δολάρια TVL απειλείται με εξαφάνιση

Η Verichains δημιούργησε στις δοκιμές της απόδειξη για επιθέσεις ιδέας στη διαχείριση περιουσιακών στοιχείων διασταυρούμενης αλυσίδας και στην υποδομή κλειδιών μη θεματοφυλακής πολλών δημοφιλών πορτοφολιών. Έβγαλαν το πλήρες ιδιωτικό κλειδί χωρίς να αφήσουν ίχνη στις επιθέσεις και να εμφανιστούν αθώοι στα άλλα μέρη. Η εταιρεία δηλώνει ότι η TVL αξίας τουλάχιστον 8 δισεκατομμυρίων δολαρίων βρίσκεται σε κίνδυνο.

Ο Thanh Nguyen, συνιδρυτής της Verichains και πρώην ηγέτης ασφαλείας της CPU στην Intel, δήλωσε: «Η Verichains έχει μια ισχυρή δέσμευση για την υπεύθυνη αποκάλυψη ευπάθειας και φροντίζουμε και εξετάζουμε μέτρα κατά την αποκάλυψη επιθέσεων, ειδικά δεδομένου του ευρέος φάσματος των επηρεαζόμενων έργων και των σημαντικών χρηστών κεφάλαια σε κίνδυνο».

Η ομάδα προτρέπει τις πλατφόρμες και τα έργα που βασίζονται στο ECDSA να δώσουν προτεραιότητα στην εφαρμογή ισχυρών μέτρων ασφαλείας. Είναι έτοιμοι να βοηθήσουν στη διασφάλιση της ασφάλειας των πλατφορμών. Ειδοποιώντας πιθανές εφαρμογές που θα μπορούσαν να επηρεαστούν από τις επιθέσεις, η Verichains θα δημοσιεύσει λεπτομέρειες για τις δοκιμαστικές επιθέσεις μόλις μετριαστούν τα τρωτά σημεία.

Ιδρύθηκε το 2017, η εταιρεία βοήθησε στη διερεύνηση και τη διόρθωση ζητημάτων ασφαλείας στις πιο σημαντικές επιθέσεις κρυπτογράφησης, συμπεριλαμβανομένων των Ronin Bridge και BNB Bridge. Τον Δεκέμβριο του 2022, ο Verichains ανακάλυψε για πρώτη φορά Ευπάθεια εξαγωγής ιδιωτικού κλειδιού στον ασφαλή πελάτη Multi-Party του fastMPC του Multichain.

Ο Adnan είναι ένας λάτρης των κρυπτονομισμάτων που παρακολουθεί πάντα τις τελευταίες εξελίξεις στο οικοσύστημα κρυπτογράφησης. Είναι μηχανικός περιβάλλοντος που εργάζεται στο MBA του και παρακολουθεί τις καινοτομίες στο FinTech εδώ και αρκετά χρόνια. Ο Adnan παράγει γραπτό περιεχόμενο για την αναθεώρηση έργων κρυπτογράφησης και την υποστήριξη της κοινότητας κρυπτογράφησης.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/