Verichains ujawnia krytyczne luki w zabezpieczeniach protokołów TSS i MPC

Opublikowane ponownie przez Plato

Obserwuje: 0

Najważniejsze informacje:

Firma stwierdziła, że prawie wszystkie aplikacje TSS są podatne na ataki polegające na ostrym przywracaniu i zidentyfikowała ataki związane z ekstrakcją klucza w protokole MPC.
Verichains przetestował międzyłańcuchowe zarządzanie aktywami i nieizolacyjną infrastrukturę kluczy wielu popularnych portfeli, wydobywając pełne klucze prywatne bez pozostawiania śladu i uważa, że ponad 8 miliardów dolarów całkowitej zablokowanej wartości (TVL) jest zagrożone.
Firma wzywa platformy i projekty, które opierają się na ECDSA, aby priorytetowo potraktowały wdrożenie solidnych środków bezpieczeństwa.

Verichains jest wiodącym dostawcą rozwiązań bezpieczeństwa blockchain, specjalizującym się w bezpieczeństwie obwodowym, audytach kodu, kryptoanalizie i badaniu incydentów. Badając progowe zabezpieczenia ECDSA od października 2022 r., firma Verichains odkryła, że prawie wszystkie aplikacje Threshold Signature Schemes (TSS) są podatne na ataki związane z odzyskiwaniem kluczy. Dzisiaj wykryli krytyczne ataki związane z ekstrakcją klucza w TSS, protokole Multi-Party Computing (MPC).

Wiodące firmy zajmujące się bezpieczeństwem przeprowadzają TSS przez wiele audytów, ale nie wykrywają problemów bezpieczeństwa wykrytych przez Verichains. TSS to protokół kryptograficzny, który umożliwia grupie stron utworzenie podpisu na wiadomości bez ujawniania ich kluczy prywatnych. Technologia Blockchain zapewnia bezpieczeństwo i dostępność środków z tą aplikacją. Dzięki TSS fundusze są zdecentralizowane i kontrolowane przez rozproszoną grupę sygnatariuszy, którzy współpracują w celu autoryzacji transakcji.

System Multi-Party Computing (MPC), w którym TSS jest używany jako protokół, jest używany przez wiele dużych instytucji finansowych i blockchain do zabezpieczania zasobów cyfrowych. Instytucje te obejmują Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase i inne. Wiele instytucji wdraża protokoły MPC dla ECDSA progowego oparte na algorytmach GG18, GG20 i CGGMP21.

Zagrożone ponad 8 miliardów dolarów TVL

W swoich testach Verichains stworzył ataki typu „proof of concept” na międzyłańcuchowe zarządzanie aktywami i kluczową infrastrukturę bez nadzoru wielu popularnych portfeli. Wyodrębnili pełny klucz prywatny bez pozostawiania śladów w atakach i wyglądając na niewinnych dla innych stron. Firma twierdzi, że TVL o wartości co najmniej 8 miliardów dolarów jest zagrożona.

Thanh Nguyen, współzałożyciel Verichains i były lider ds. bezpieczeństwa procesorów w firmie Intel, powiedział: „Verichains mocno angażuje się w odpowiedzialne ujawnianie luk w zabezpieczeniach, a przy ujawnianiu ataków podejmujemy staranne i rozważane kroki, zwłaszcza biorąc pod uwagę szeroki zakres projektów, których dotyczy problem, i znaczących użytkowników fundusze zagrożone”.

Zespół wzywa platformy i projekty, które opierają się na ECDSA, do nadania priorytetu wdrażaniu solidnych środków bezpieczeństwa. Są gotowi pomóc w zapewnieniu bezpieczeństwa platform. Powiadamiając potencjalne aplikacje, na które mogą mieć wpływ ataki, Verichains opublikuje szczegóły ataków testowych, gdy luki w zabezpieczeniach zostaną złagodzone.

Założona w 2017 roku firma pomogła badać i naprawiać problemy bezpieczeństwa w najbardziej znanych atakach kryptograficznych, w tym Ronin Bridge i BNB Bridge. W grudniu 2022 r. Verichains po raz pierwszy odkrył Luka w zabezpieczeniach związana z ekstrakcją klucza prywatnego w bezpiecznym wielostronnym kliencie Multichain firmy fastMPC.

Adnan jest entuzjastą kryptowalut, który zawsze śledzi najnowsze osiągnięcia w ekosystemie kryptowalut. Jest inżynierem środowiska na studiach MBA i od kilku lat śledzi innowacje w FinTech. Adnan tworzy treści pisane, aby przeglądać projekty kryptograficzne i wspierać społeczność kryptograficzną.