Verichains avslører kritiske sikkerhetssårbarheter i TSS- og MPC-protokoller

Viktige høydepunkter:

• Selskapet fant at nesten alle TSS-applikasjoner er sårbare for akutte gjenopprettingsangrep og identifiserte nøkkelutvinningsangrep i MPC-protokollen.
• Verichains testet aktivaforvaltning på tvers av kjeder og ikke-depotnøkkelinfrastruktur for mange populære lommebøker, og hentet ut fullstendige private nøkler uten å etterlate spor, og mener at over 8 milliarder dollar av total verdi låst (TVL) er i fare.
• Selskapet oppfordrer plattformer og prosjekter som er avhengige av ECDSA til å prioritere implementering av robuste sikkerhetstiltak.

Verichains er en ledende leverandør av blokkjede-sikkerhetsløsninger som spesialiserer seg på perimetersikkerhet, koderevisjoner, kryptoanalyse og hendelsesundersøkelse. Verichains har undersøkt terskel-ECDSA-sikkerhet siden oktober 2022, og fant ut at nesten alle Threshold Signature Schemes (TSS)-applikasjoner er sårbare for nøkkelgjenopprettingsangrep. I dag fant de kritiske nøkkelutvinningsangrep i TSS, Multi-Party Computing (MPC)-protokollen.

Ledende sikkerhetsfirmaer kjører TSSer gjennom flere revisjoner, men klarer ikke å oppdage sikkerhetsproblemene Verichains fant. TSS er en kryptografisk protokoll som lar en gruppe parter lage en signatur på en melding uten å avsløre deres private nøkler. Blockchain-teknologi sikrer sikkerheten og tilgjengeligheten av midler med denne applikasjonen. Med TSS blir midler desentralisert og kontrollert av en distribuert gruppe underskrivere som samarbeider for å autorisere transaksjoner.

Multi-Party Computing (MPC) system, der TSS brukes som en protokoll, brukes av mange store finans- og blokkjedeinstitusjoner for å sikre digitale eiendeler. Disse institusjonene inkluderer Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase og andre. Mange institusjoner implementerer MPC-protokoller for terskel-ECDSA basert på GG18-, GG20- og CGGMP21-algoritmer.

Over $8 milliarder TVL truet

Verichains skapte proof of concept-angrep på aktivaforvaltning på tvers av kjeder og ikke-depotnøkkelinfrastruktur for mange populære lommebøker i sine tester. De hentet ut den fullstendige private nøkkelen uten å etterlate spor i angrepene og fremstå som uskyldige for andre parter. Selskapet opplyser at TVL til en verdi av minst 8 milliarder dollar er i fare.

Thanh Nguyen, Verichains medgründer og tidligere CPU-sikkerhetsleder hos Intel, sa: "Verichains har en sterk forpliktelse til ansvarlig avsløring av sårbarheter, og vi tar vare på og vurderer skritt når vi avslører angrep, spesielt gitt det brede spekteret av berørte prosjekter og betydelige brukere midler i fare."

Teamet oppfordrer plattformer og prosjekter som er avhengige av ECDSA til å prioritere implementering av robuste sikkerhetstiltak. De er klare til å hjelpe til med å ivareta sikkerheten til plattformene. Ved å varsle potensielle applikasjoner som kan bli påvirket av angrepene, vil Verichains frigi detaljer om testangrepene så snart sårbarhetene er redusert.

Selskapet ble grunnlagt i 2017 og har hjulpet med å undersøke og fikse sikkerhetsproblemer i de mest fremtredende kryptoangrepene, inkludert Ronin Bridge og BNB Bridge. I desember 2022 oppdaget Verichains først Sårbarhet for utvinning av privat nøkkel i fastMPCs Secure Multi-Party Client av Multichain.

Adnan er en kryptoentusiast som alltid holder øye med den siste utviklingen i kryptoøkosystemet. Han er miljøingeniør og jobber med sin MBA og har fulgt innovasjoner innen FinTech i flere år. Adnan produserer skriftlig innhold for å gjennomgå kryptoprosjekter og støtte kryptosamfunnet.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/