Verichains revela vulnerabilidades de seguridad críticas en los protocolos TSS y MPC

Reeditado por Platón

seguidores: 0

Puntos clave:

La empresa descubrió que casi todas las aplicaciones de TSS son vulnerables a ataques de recuperación agudos e identificó ataques de extracción de claves en el protocolo MPC.
Verichains probó la gestión de activos entre cadenas y la infraestructura clave sin custodia de muchas billeteras populares, extrajo claves privadas completas sin dejar rastro, y cree que más de $ 8 mil millones del valor total bloqueado (TVL) está en riesgo.
La compañía insta a las plataformas y proyectos que dependen de ECDSA a priorizar la implementación de medidas de seguridad sólidas.

Vericadenas es un proveedor líder de soluciones de seguridad de cadena de bloques que se especializa en seguridad perimetral, auditorías de código, criptoanálisis e investigación de incidentes. Al investigar el umbral de seguridad ECDSA desde octubre de 2022, Verichains descubrió que casi todas las aplicaciones de Threshold Signature Schemes (TSS) son vulnerables a los ataques de recuperación de claves. Hoy, encontraron ataques de extracción de claves críticos en TSS, el protocolo de computación multipartita (MPC).

Las principales empresas de seguridad ejecutan TSS a través de múltiples auditorías, pero no detectan los problemas de seguridad que encontró Verichains. TSS es un protocolo criptográfico que permite a un grupo de partes crear una firma en un mensaje sin revelar sus claves privadas. La tecnología Blockchain garantiza la seguridad y disponibilidad de los fondos con esta aplicación. Con TSS, los fondos están descentralizados y controlados por un grupo distribuido de firmantes que colaboran para autorizar transacciones.

El sistema Multi-Party Computing (MPC), en el que se utiliza TSS como protocolo, es utilizado por muchas grandes instituciones financieras y de cadena de bloques para proteger los activos digitales. Estas instituciones incluyen Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase y otras. Muchas instituciones implementan protocolos MPC para umbral ECDSA basados en algoritmos GG18, GG20 y CGGMP21.

Más de $ 8 mil millones TVL en peligro

Verichains creó ataques de prueba de concepto en la gestión de activos de cadena cruzada y la infraestructura clave sin custodia de muchas billeteras populares en sus pruebas. Extrajeron la clave privada completa sin dejar rastro en los ataques y pareciendo inocentes para otras partes. La compañía afirma que al menos $ 8 mil millones en TVL están en riesgo.

Thanh Nguyen, cofundador de Verichains y exlíder de seguridad de CPU en Intel, dijo: “Verichains tiene un fuerte compromiso con la divulgación responsable de vulnerabilidades, y tomamos medidas cuidadosas y consideradas al divulgar ataques, especialmente dada la amplia gama de proyectos afectados y usuarios importantes. fondos en riesgo”.

El equipo insta a las plataformas y proyectos que dependen de ECDSA a priorizar la implementación de medidas de seguridad sólidas. Están listos para ayudar a garantizar la seguridad de las plataformas. Al notificar a las posibles aplicaciones que podrían verse afectadas por los ataques, Verichains publicará los detalles de los ataques de prueba una vez que se mitiguen las vulnerabilidades.

Fundada en 2017, la empresa ha ayudado a investigar y solucionar problemas de seguridad en los criptoataques más destacados, incluidos Ronin Bridge y BNB Bridge. En diciembre de 2022, Verichains descubrió por primera vez Vulnerabilidad de extracción de clave privada en el cliente seguro multipartito de Multichain de fastMPC.

Adnan es un entusiasta de las criptomonedas que siempre está atento a los últimos desarrollos en el ecosistema de las criptomonedas. Es un ingeniero ambiental que trabaja en su MBA y ha estado siguiendo las innovaciones en FinTech durante varios años. Adnan produce contenido escrito para revisar proyectos criptográficos y apoyar a la comunidad criptográfica.