Verichains avslöjar kritiska säkerhetssårbarheter i TSS- och MPC-protokoll

Viktiga höjdpunkter:

• Företaget fann att nästan alla TSS-applikationer är sårbara för akuta återställningsattacker och identifierade nyckelextraktionsattacker i MPC-protokollet.
• Verichains testade förvaltning av tillgångar över kedjan och nyckelinfrastruktur för många populära plånböcker, extraherade fullständiga privata nycklar utan att lämna ett spår, och tror att över 8 miljarder USD av totalt värde låst (TVL) är i riskzonen.
• Företaget uppmanar plattformar och projekt som förlitar sig på ECDSA att prioritera implementering av robusta säkerhetsåtgärder.

Verichains är en ledande leverantör av blockchain-säkerhetslösningar som specialiserat sig på perimetersäkerhet, kodrevisioner, kryptoanalys och incidentutredning. Verichains undersökte ECDSA-säkerhetsgränsen sedan oktober 2022 och upptäckte att nästan alla TSS-applikationer (Threshold Signature Schemes) är sårbara för återställningsattacker. Idag hittade de kritiska Key Extraction Attacks i TSS, Multi-Party Computing (MPC)-protokollet.

Ledande säkerhetsföretag kör TSS genom flera granskningar men lyckas inte upptäcka säkerhetsproblemen som Verichains hittade. TSS är ett kryptografiskt protokoll som tillåter en grupp parter att skapa en signatur på ett meddelande utan att avslöja sina privata nycklar. Blockchain-teknik säkerställer säkerheten och tillgängligheten av medel med denna applikation. Med TSS decentraliseras och kontrolleras medel av en distribuerad grupp undertecknare som samarbetar för att auktorisera transaktioner.

Multi-Party Computing (MPC)-system, där TSS används som ett protokoll, används av många stora finansiella och blockchain-institutioner för att säkra digitala tillgångar. Dessa institutioner inkluderar Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase och andra. Många institutioner implementerar MPC-protokoll för tröskel-ECDSA baserat på GG18-, GG20- och CGGMP21-algoritmer.

Över 8 miljarder $ TVL hotad

Verichains skapade proof of concept-attacker på förvaltning av tillgångar över kedjan och nyckelinfrastruktur som inte är förvaringsbar för många populära plånböcker i sina tester. De extraherade hela den privata nyckeln utan att lämna spår i attackerna och framstå som oskyldiga för andra parter. Företaget uppger att TVL är i riskzonen för minst 8 miljarder dollar.

Thanh Nguyen, Verichains medgrundare och tidigare CPU-säkerhetsledare på Intel, sa: "Verichains har ett starkt engagemang för att avslöja ansvarsfull sårbarhet, och vi tar försiktiga och övervägda steg när vi avslöjar attacker, särskilt med tanke på det breda utbudet av påverkade projekt och betydande användare fonder i riskzonen."

Teamet uppmanar plattformar och projekt som förlitar sig på ECDSA att prioritera implementering av robusta säkerhetsåtgärder. De är redo att hjälpa till att garantera säkerheten på plattformarna. Genom att meddela potentiella applikationer som kan påverkas av attackerna kommer Verichains att släppa detaljer om testattackerna när sårbarheterna har åtgärdats.

Företaget grundades 2017 och har hjälpt till att undersöka och fixa säkerhetsproblem i de mest framträdande kryptoattackerna, inklusive Ronin Bridge och BNB Bridge. I december 2022 upptäckte Verichains först Sårbarhet för utvinning av privat nyckel i fastMPC:s Secure Multi-Party Client av Multichain.

Adnan är en kryptoentusiast som alltid håller ett öga på den senaste utvecklingen inom kryptoekosystemet. Han är miljöingenjör och arbetar på sin MBA och har följt innovationer inom FinTech i flera år. Adnan producerar skriftligt innehåll för att granska kryptoprojekt och stödja kryptogemenskapen.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/