Verichains tiết lộ các lỗ hổng bảo mật quan trọng trong các giao thức TSS và MPC

Điểm nổi bật chính:

• Công ty phát hiện ra rằng gần như tất cả các ứng dụng TSS đều dễ bị tấn công khôi phục cấp tính và các cuộc tấn công khai thác khóa đã xác định trong giao thức MPC.
• Verichains đã thử nghiệm quản lý tài sản chuỗi chéo và cơ sở hạ tầng khóa không giam giữ của nhiều ví phổ biến, trích xuất toàn bộ khóa riêng tư mà không để lại dấu vết và tin rằng hơn 8 tỷ đô la tổng giá trị bị khóa (TVL) đang gặp rủi ro.
• Công ty đang thúc giục các nền tảng và dự án dựa vào ECDSA ưu tiên triển khai các biện pháp bảo mật mạnh mẽ.

Verichain là nhà cung cấp giải pháp bảo mật chuỗi khối hàng đầu chuyên về bảo mật vành đai, kiểm tra mã, phân tích mật mã và điều tra sự cố. Khi điều tra ngưỡng bảo mật ECDSA kể từ tháng 2022 năm XNUMX, Verichains nhận thấy rằng gần như tất cả các ứng dụng Lược đồ chữ ký ngưỡng (TSS) đều dễ bị tấn công khôi phục khóa. Hôm nay, họ đã tìm thấy các Cuộc tấn công khai thác khóa quan trọng trong TSS, giao thức Điện toán Đa bên (MPC).

Các công ty bảo mật hàng đầu chạy TSS qua nhiều lần kiểm tra nhưng không phát hiện được các vấn đề bảo mật mà Verichains đã tìm thấy. TSS là một giao thức mật mã cho phép một nhóm các bên tạo chữ ký trên thư mà không tiết lộ khóa riêng của họ. Công nghệ chuỗi khối đảm bảo tính bảo mật và tính sẵn có của tiền với ứng dụng này. Với TSS, tiền được phân cấp và kiểm soát bởi một nhóm người ký tên phân tán cộng tác để ủy quyền giao dịch.

Hệ thống điện toán đa bên (MPC), trong đó TSS được sử dụng làm giao thức, được nhiều tổ chức tài chính và chuỗi khối lớn sử dụng để bảo mật tài sản kỹ thuật số. Các tổ chức này bao gồm Fireblocks, Binance, Revolut, BNY Mellon, ING, Coinbase và các tổ chức khác. Nhiều tổ chức triển khai các giao thức MPC cho ngưỡng ECDSA dựa trên các thuật toán GG18, GG20 và CGGMP21.

Hơn $8 tỷ TVL có nguy cơ tuyệt chủng

Verichains đã tạo ra các cuộc tấn công bằng chứng về khái niệm đối với quản lý tài sản chuỗi chéo và cơ sở hạ tầng khóa không giam giữ của nhiều ví phổ biến trong các thử nghiệm của mình. Họ đã trích xuất toàn bộ khóa riêng mà không để lại dấu vết trong các cuộc tấn công và tỏ ra vô tội với các bên khác. Công ty tuyên bố rằng TVL trị giá ít nhất 8 tỷ đô la đang gặp rủi ro.

Thanh Nguyen, Đồng sáng lập Verichains và cựu Trưởng nhóm Bảo mật CPU tại Intel, cho biết: “Verichains có cam kết mạnh mẽ trong việc tiết lộ lỗ hổng có trách nhiệm và chúng tôi cẩn thận cũng như cân nhắc các bước khi tiết lộ các cuộc tấn công, đặc biệt là với nhiều dự án bị ảnh hưởng và người dùng quan trọng. quỹ có nguy cơ.”

Nhóm đang thúc giục các nền tảng và dự án dựa vào ECDSA ưu tiên triển khai các biện pháp bảo mật mạnh mẽ. Họ sẵn sàng giúp đỡ để đảm bảo an toàn cho các nền tảng. Thông báo cho các ứng dụng tiềm năng có thể bị ảnh hưởng bởi các cuộc tấn công, Verichains sẽ công bố chi tiết về các cuộc tấn công thử nghiệm sau khi các lỗ hổng được giảm thiểu.

Được thành lập vào năm 2017, công ty đã giúp điều tra và khắc phục các sự cố bảo mật trong các cuộc tấn công tiền điện tử nổi bật nhất, bao gồm Ronin Bridge và BNB Bridge. Vào tháng 2022 năm XNUMX, Verichains lần đầu tiên phát hiện ra Lỗ hổng khai thác khóa cá nhân trong ứng dụng khách đa bên an toàn của fastMPC của Multichain.

Adnan là một người đam mê tiền điện tử, người luôn theo dõi những phát triển mới nhất trong hệ sinh thái tiền điện tử. Anh ấy là một kỹ sư môi trường đang học bằng MBA và đã theo dõi những đổi mới trong FinTech trong vài năm. Adnan sản xuất nội dung bằng văn bản để đánh giá các dự án tiền điện tử và hỗ trợ cộng đồng tiền điện tử.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://coincheckup.com/blog/verichains-reveals-critical-security-vulnerabilities-in-tss-and-mpc-protocols/