Points saillants:
- La société a constaté que presque toutes les applications TSS sont vulnérables aux attaques de récupération aiguës et ont identifié les attaques d'extraction de clé dans le protocole MPC.
- Verichains a testé la gestion d'actifs inter-chaînes et l'infrastructure de clé non dépositaire de nombreux portefeuilles populaires, en extrayant des clés privées complètes sans laisser de trace, et estime que plus de 8 milliards de dollars de valeur totale verrouillée (TVL) sont à risque.
- La société exhorte les plates-formes et les projets qui s'appuient sur l'ECDSA à donner la priorité à la mise en œuvre de mesures de sécurité robustes.
Verichains est un fournisseur leader de solutions de sécurité blockchain spécialisé dans la sécurité périmétrique, les audits de code, la cryptanalyse et les enquêtes sur les incidents. En enquêtant sur le seuil de sécurité ECDSA depuis octobre 2022, Verichains a découvert que presque toutes les applications Threshold Signature Schemes (TSS) sont vulnérables aux attaques de récupération de clé. Aujourd'hui, ils ont découvert des attaques critiques par extraction de clé dans TSS, le protocole de calcul multipartite (MPC).
Les principales entreprises de sécurité exécutent des TSS via plusieurs audits, mais ne parviennent pas à détecter les problèmes de sécurité détectés par Verichains. TSS est un protocole cryptographique qui permet à un groupe de parties de créer une signature sur un message sans révéler leurs clés privées. La technologie Blockchain assure la sécurité et la disponibilité des fonds avec cette application. Avec TSS, les fonds sont décentralisés et contrôlés par un groupe distribué de signataires qui collaborent pour autoriser les transactions.
Le système informatique multipartite (MPC), dans lequel TSS est utilisé comme protocole, est utilisé par de nombreuses grandes institutions financières et blockchain pour sécuriser les actifs numériques. Ces institutions comprennent Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase et autres. De nombreuses institutions implémentent des protocoles MPC pour le seuil ECDSA basés sur les algorithmes GG18, GG20 et CGGMP21.
Plus de 8 milliards de dollars TVL en voie de disparition
Verichains a créé des attaques de preuve de concept sur la gestion des actifs inter-chaînes et l'infrastructure clé non dépositaire de nombreux portefeuilles populaires lors de ses tests. Ils ont extrait la clé privée complète sans laisser de trace dans les attaques et en paraissant innocents aux autres parties. La société déclare qu'au moins 8 milliards de dollars de TVL sont à risque.
Thanh Nguyen, co-fondateur de Verichains et ancien responsable de la sécurité des processeurs chez Intel, a déclaré : « Verichains s'est fermement engagé à divulguer les vulnérabilités de manière responsable, et nous prenons soin et réfléchissons aux étapes à suivre lors de la divulgation des attaques, en particulier compte tenu du large éventail de projets impactés et du nombre important d'utilisateurs. des fonds à risque ».
L'équipe exhorte les plates-formes et les projets qui s'appuient sur l'ECDSA à donner la priorité à la mise en œuvre de mesures de sécurité robustes. Ils sont prêts à aider à assurer la sécurité des plates-formes. Notifiant les applications potentielles qui pourraient être affectées par les attaques, Verichains publiera les détails des attaques de test une fois les vulnérabilités atténuées.
Fondée en 2017, la société a aidé à enquêter et à résoudre les problèmes de sécurité dans les attaques cryptographiques les plus importantes, notamment Ronin Bridge et BNB Bridge. En décembre 2022, Verichains a découvert pour la première fois Vulnérabilité d'extraction de clé privée dans le client multi-parties sécurisé de fastMPC de Multichain.
Adnan est un passionné de crypto qui garde toujours un œil sur les derniers développements de l'écosystème crypto. Il est ingénieur en environnement travaillant sur son MBA et suit les innovations en FinTech depuis plusieurs années. Adnan produit du contenu écrit pour examiner les projets crypto et soutenir la communauté crypto.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/
- :est
- 10
- 100
- 2017
- 2022
- 7
- a
- algorithmes
- Tous
- permet
- toujours
- ainsi que le
- Application
- applications
- SONT
- AS
- atout
- la gestion d'actifs
- Outils
- At
- Attaques
- audits
- auteur
- autoriser
- disponibilité
- Avatar
- basé
- BE
- croit
- Milliards
- binance
- blockchain
- Blockchain sécurité
- Technologie blockchain
- ENB
- BNY
- BNY Mellon
- PONT
- by
- les soins
- client
- Co-fondateur
- code
- audits de code
- coinbase
- collaborons
- engagement
- Communautés
- Société
- informatique
- concept
- considéré
- contenu
- contrôlée
- pourriez
- Processeur
- engendrent
- créée
- critique
- Cross-Chain
- Crypto
- communauté crypto
- Écosystème crypto
- projets de cryptographie
- cryptographique
- Décembre
- Décentralisé
- la description
- détails
- développements
- numérique
- Actifs numériques
- Divulgation
- divulgation
- découvert
- distribué
- risque numérique
- ingénieur
- assurer
- Assure
- passionné
- environnementales
- notamment
- externe
- extraction
- œil
- FAIL
- la traduction de documents financiers
- FinTech
- BLOCS FEU
- entreprises
- Prénom
- Fixer
- Abonnement
- Pour
- Ancien
- trouvé
- plein
- fonds
- donné
- Réservation de groupe
- vous aider
- a aidé
- Faits saillants
- http
- HTTPS
- identifié
- image
- impact
- Mettre en oeuvre
- la mise en œuvre
- in
- incident
- comprendre
- Y compris
- Infrastructure
- ING
- innovations
- les établissements privés
- Intel
- enquêter
- enquête
- vous aider à faire face aux problèmes qui vous perturbent
- SES
- jpg
- en gardant
- ACTIVITES
- clés
- gros
- Nouveautés
- derniers développements
- leader
- conduisant
- départ
- fermé
- gestion
- de nombreuses
- MBA
- les mesures
- Mellon
- message
- (en fait, presque toutes)
- MPC
- pluripartite
- multichaîne
- plusieurs
- presque
- Nouveauté
- Nguyen
- non privatif de liberté
- notification
- octobre
- of
- on
- ouvre
- Autre
- Autres
- les parties
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- défaillances
- Prioriser
- Privé
- Clé privée
- Clés privées
- d'ouvrabilité
- projets
- important
- preuve
- preuve de concept
- protocole
- protocoles
- de voiture.
- gamme
- solutions
- récupération
- libérer
- responsables
- révélateur
- Révèle
- Avis
- Revolut
- Analyse
- robuste
- RONIN
- Courir
- Sécurité
- Saïd
- Schémas
- sécurisé
- sécurité
- plusieurs
- significative
- depuis
- Solutions
- spécialisation
- États
- Étapes
- STRONG
- Support
- combustion propre
- Prenez
- équipe
- Technologie
- tester
- tests
- qui
- La
- leur
- Ces
- порог
- Avec
- à
- aujourd'hui
- Total
- valeur totale verrouillée
- tracer
- Transactions
- TVL
- Utilisateur
- fonds de l'utilisateur
- Plus-value
- vulnérabilités
- vulnérabilité
- Vulnérable
- Portefeuilles
- qui
- WHO
- large
- Large gamme
- sera
- comprenant
- sans
- de travail
- vaut
- code écrit
- années
- zéphyrnet
