Основні моменти:
- The company found that nearly all TSS applications are vulnerable to acute recovery attacks and identified key extraction attacks in the MPC protocol.
- Verichains tested cross-chain asset management and non-custodial key infrastructure of many popular wallets, extracting full private keys without leaving a trace, and believes that over $8bn of total value locked (TVL) is at risk.
- The company is urging platforms and projects that rely on ECDSA to prioritize implementing robust security measures.
Verichains is a leading blockchain security solutions provider specializing in perimeter security, code audits, cryptanalysis, and incident investigation. Investigating threshold ECDSA security since October 2022, Verichains found that nearly all Threshold Signature Schemes (TSS) applications are vulnerable to key recovery attacks. Today, they found critical Key Extraction Attacks in TSS, the Multi-Party Computing (MPC) protocol.
Leading security firms run TSSs through multiple audits but fail to detect the security problems Verichains found. TSS is a cryptographic protocol that allows a group of parties to create a signature on a message without revealing their private keys. Blockchain technology ensures the security and availability of funds with this application. With TSS, funds are decentralized and controlled by a distributed group of signers who collaborate to authorize transactions.
Multi-Party Computing (MPC) system, in which TSS is used as a protocol, is used by many large financial and blockchain institutions to secure digital assets. These institutions include Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase, and others. Many institutions implement MPC protocols for threshold ECDSA based on GG18, GG20, and CGGMP21 algorithms.
Over $8 Billion TVL Endangered
Verichains created proof of concept attacks on cross-chain asset management and non-custodial key infrastructure of many popular wallets in its tests. They extracted the full private key without leaving a trace in the attacks and appearing innocent to other parties. The company states that at least $8 billion worth of TVL is at risk.
Thanh Nguyen, Verichains Co-Founder and former CPU Security Leader at Intel, said, “Verichains has a strong commitment to responsible vulnerability disclosure, and we take care and considered steps when disclosing attacks, especially given the wide range of impacted projects and significant user funds at risk.”
The team is urging platforms and projects that rely on ECDSA to prioritize implementing robust security measures. They are ready to help to ensure the safety of the platforms. Notifying potential applications that could be affected by the attacks, Verichains will release details of the test attacks once the vulnerabilities are mitigated.
Founded in 2017, the company has helped investigate and fix security issues in the most prominent crypto attacks, including Ronin Bridge and BNB Bridge. In December 2022, Verichains first discovered Private Key Extraction Vulnerability in fastMPC’s Secure Multi-Party Client of Multichain.
Аднан — криптоентузіаст, який завжди стежить за останніми подіями в криптоекосистемі. Він інженер-еколог, який працює над ступенем магістра ділового адміністрування, і вже кілька років стежить за інноваціями у сфері фінансових технологій. Аднан створює письмовий контент для огляду криптопроектів і підтримки криптоспільноти.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/
- :є
- 10
- 100
- 2017
- 2022
- 7
- a
- алгоритми
- ВСІ
- дозволяє
- завжди
- та
- додаток
- застосування
- ЕСТЬ
- AS
- активи
- управління активами
- Активи
- At
- нападки
- аудит
- автор
- авторизувати
- наявність
- аватар
- заснований
- BE
- вважає,
- Мільярд
- бінанду
- blockchain
- Захист блокчейну
- Технологія блокчейна
- НББ
- BNY
- БНІ Меллон
- BRIDGE
- by
- який
- клієнт
- Співзасновник
- код
- аудит коду
- coinbase
- співпрацювати
- зобов'язання
- співтовариство
- компанія
- обчислення
- концепція
- вважається
- зміст
- контроль
- може
- центральний процесор
- створювати
- створений
- критичний
- Крос-ланцюга
- крипто
- криптова спільнота
- Крипто-екосистема
- криптопроекти
- криптографічні
- Грудень
- Децентралізований
- description
- деталі
- події
- цифровий
- Цифрові активи
- Розкриття
- розкриття
- відкритий
- розподілений
- екосистема
- інженер
- забезпечувати
- гарантує
- ентузіаст
- навколишній
- особливо
- зовнішній
- видобуток
- очей
- FAIL
- фінансовий
- FinTech
- ВОГНЕБЛОКИ
- фірми
- Перший
- виправляти
- після
- для
- Колишній
- знайдений
- Повний
- засоби
- даний
- Group
- допомога
- допоміг
- основний момент
- HTTP
- HTTPS
- ідентифікований
- зображення
- вплив
- здійснювати
- реалізації
- in
- інцидент
- включати
- У тому числі
- Інфраструктура
- ING
- інновації
- установи
- Intel
- дослідити
- дослідження
- питання
- ЙОГО
- JPG
- зберігання
- ключ
- ключі
- великий
- останній
- останні розробки
- лідер
- провідний
- догляд
- замкнений
- управління
- багато
- MBA
- заходи
- Mellon
- повідомлення
- найбільш
- MPC
- багатопартійність
- багатоланцюговий
- множинний
- майже
- Нові
- Нгуен
- ненапізнення
- повідомлення
- жовтень
- of
- on
- Відкриється
- Інше
- інші
- Сторони
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- потенціал
- Пріоритетність
- приватний
- Private Key
- Приватні ключі
- проблеми
- проектів
- видатний
- доказ
- доказ концепції
- протокол
- протоколи
- Постачальник
- діапазон
- готовий
- відновлення
- звільнити
- відповідальний
- виявлення
- Виявляє
- огляд
- Revolut
- Risk
- міцний
- РОНІН
- прогін
- Безпека
- Зазначений
- схеми
- безпечний
- безпеку
- кілька
- значний
- з
- Рішення
- спеціалізується
- Штати
- заходи
- сильний
- підтримка
- система
- Приймати
- команда
- Технологія
- тест
- Тести
- Що
- Команда
- їх
- Ці
- поріг
- через
- до
- сьогодні
- Усього:
- загальне значення заблоковано
- простежувати
- Transactions
- ТВЛ
- користувач
- кошти користувачів
- значення
- Уразливості
- вразливість
- Вразливий
- Гаманці
- який
- ВООЗ
- широкий
- Широкий діапазон
- волі
- з
- без
- робочий
- вартість
- письмовий
- років
- зефірнет