Verichains revela vulnerabilidades críticas de segurança nos protocolos TSS e MPC

Verichains revela vulnerabilidades críticas de segurança nos protocolos TSS e MPC

Carimbo de hora: 27 de março de 2023 8h03
Nó Fonte: 2545524
verichains

Principais destaques:

  • A empresa descobriu que quase todos os aplicativos TSS são vulneráveis ​​a ataques de recuperação agudos e identificou ataques de extração de chaves no protocolo MPC.
  • A Verichains testou o gerenciamento de ativos entre cadeias e a infraestrutura de chaves sem custódia de muitas carteiras populares, extraindo chaves privadas completas sem deixar rastros, e acredita que mais de US$ 8 bilhões do valor total bloqueado (TVL) estão em risco.
  • A empresa está incentivando as plataformas e projetos que dependem da ECDSA a priorizarem a implementação de medidas de segurança robustas.

Verichains é um fornecedor líder de soluções de segurança blockchain, especializado em segurança de perímetro, auditorias de código, criptoanálise e investigação de incidentes. Investigando o limite de segurança ECDSA desde outubro de 2022, a Verichains descobriu que quase todos os aplicativos Threshold Signature Schemes (TSS) são vulneráveis ​​a ataques de recuperação de chave. Hoje, eles encontraram ataques críticos de extração de chaves no TSS, o protocolo Multi-Party Computing (MPC).

As principais empresas de segurança executam TSSs através de múltiplas auditorias, mas não conseguem detectar os problemas de segurança encontrados pela Verichains. TSS é um protocolo criptográfico que permite que um grupo de partes crie uma assinatura em uma mensagem sem revelar suas chaves privadas. A tecnologia Blockchain garante a segurança e disponibilidade de fundos com esta aplicação. Com o TSS, os fundos são descentralizados e controlados por um grupo distribuído de signatários que colaboram para autorizar transações.

O sistema Multi-Party Computing (MPC), no qual o TSS é usado como protocolo, é usado por muitas grandes instituições financeiras e blockchain para proteger ativos digitais. Essas instituições incluem Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase e outras. Muitas instituições implementam protocolos MPC para ECDSA de limite com base nos algoritmos GG18, GG20 e CGGMP21.

Mais de US$ 8 bilhões em TVL ameaçados

A Verichains criou ataques de prova de conceito no gerenciamento de ativos entre cadeias e na infraestrutura de chaves sem custódia de muitas carteiras populares em seus testes. Eles extraíram a chave privada completa sem deixar rastros nos ataques e parecendo inocentes para outras partes. A empresa afirma que pelo menos US$ 8 bilhões em TVL estão em risco.

Thanh Nguyen, cofundador da Verichains e ex-líder de segurança de CPU da Intel, disse: “A Verichains tem um forte compromisso com a divulgação responsável de vulnerabilidades e tomamos cuidado e consideramos as etapas ao divulgar ataques, especialmente dada a ampla gama de projetos impactados e usuários significativos. fundos em risco.”

A equipa insta as plataformas e projetos que dependem da ECDSA a priorizarem a implementação de medidas de segurança robustas. Eles estão prontos para ajudar a garantir a segurança das plataformas. Notificando possíveis aplicativos que podem ser afetados pelos ataques, a Verichains divulgará detalhes dos ataques de teste assim que as vulnerabilidades forem mitigadas.

Fundada em 2017, a empresa ajudou a investigar e corrigir problemas de segurança nos ataques criptográficos mais importantes, incluindo Ronin Bridge e BNB Bridge. Em dezembro de 2022, Verichains descobriu pela primeira vez Vulnerabilidade de extração de chave privada no Secure Multi-Party Client of Multichain do fastMPC.

Adnan é um entusiasta da criptografia que está sempre de olho nos últimos desenvolvimentos no ecossistema criptográfico. Ele é engenheiro ambiental com MBA e acompanha inovações em FinTech há vários anos. Adnan produz conteúdo escrito para revisar projetos criptográficos e apoiar a comunidade criptográfica.

Carimbo de hora:

Mais de Coincheck-up