A Fireblocks, que faz custódia institucional de criptoativos, descobriu o BitForge, uma vulnerabilidades em mais de 15 provedores de carteiras de criptoativos, blockchains e projetos de código aberto. Essa vulnerabilidade afeta protocolos de computação multi-partidária (MPC), considerado mais seguro e usado por grandes empresas do setor como Binance, Coinbase e Zengo. Além disso, é do tipo dia zero, ou seja, os invasores a conhecem antes do fornecedor do software.
Depois que a Fireblocks descobriu a falha, informou às empresas, levando 90 dias para divulgar o assunto. Assim, as empresas tiveram tempo de resolver o problema antes de se tornar público.
Por meio do BitForge, hackers podem podem tirar fundos de carteiras. “Em algumas implementações, o ataque levará apenas alguns segundos, sem o conhecimento do usuário ou do provedor”, afirmou a empresa. De acordo com a empresa, se as vulnerabilidades não forem remediadas, “permitiriam que os atacantes explorassem uma falha recém-descoberta nos protocolos GG18 e GG20 extraindo a chave privada”. Isso por conta da falta de uma prova de conhecimento zero.
“A vulnerabilidade do protocolo Lindell17 decorre do fato de os provedores de carteiras terem se desviado do artigo acadêmico, criando um backdoor para que os atacantes exponham parte da chave privada quando a assinatura falhar. Os exploits foram validados em principais implementações de código aberto, e um POC funcional foi construído nas bibliotecas abertas”, disse a Fireblocks. Mas, afirmou então que os protocolos MPC-CMP e MPC-CMPGG que implantou não são afetados pelo BitForge.
Changpeng Zhao, cofundador da Binance, afirmou que essa questão já estava presente na Threshold Signature Scheme (TSS) biblioteca open source da empresa e que realizou a correção necessária. Além disso, afirmou que não houve perdas de fundos. CZ lembrou que até soluções MPC de custódia apresentam problemas.
A Coinbase afirmou que não foi afetada pelos problemas no protocolo MPC na prática. E que em maio “imediatamente publicou uma biblioteca atualiza para melhorar o gerenciamento do erro, apesar de não haver ataques”.
Tal Be’ery, diretor de tecnologia e co-fundador da Zego disse que também não houve perda de fundos na empresa.
