Fireblocks révèle une vulnérabilité critique dans les portefeuilles BitGo Ethereum
L’équipe de recherche en cryptographie du fournisseur d’infrastructure blockchain Fireblocks a publié aujourd’hui les détails d’une vulnérabilité dans les portefeuilles Ethereum de BitGo qui utilisent le Threshold Signature Scheme (TSS) de l’entreprise.
Les utilisateurs de BitGo dont les clés privées ont été potentiellement exposées comprennent les échanges, les banques et les marques Web3 notables avec des centaines de milliers d’utilisateurs entre eux. Fireblocks a refusé de divulguer les noms des marques spécifiques concernées, citant un accord de non-divulgation (NDA).
Fireblocks a pu détecter la vulnérabilité début décembre, un peu plus d’un mois après la publication du service.
Après avoir confirmé les détails techniques de la vulnérabilité, BitGo a suspendu le service le 10 décembre, publiant une mise à jour de correctif en février. La société basée à Palo Alto a également demandé à ses clients de mettre à jour la dernière version avant le 17 mars.
L’annonce d’aujourd’hui intervient à la fin d’un processus de « divulgation coordonnée » que l’équipe de recherche de l’entreprise a suivi avec l’équipe de sécurité de BitGo. Selon Fireblocks, la vulnérabilité aurait pu permettre à un attaquant d’extraire une clé privée complète à l’aide d’une seule signature et de quelques secondes de calcul, en contournant toutes les fonctionnalités de sécurité de BitGo.
Le dépositaire d’actifs numériques et la société de sécurité BitGo, dont les clients incluent certains des grands noms de l’industrie de la cryptographie, tels que Bitstamp, Pantera Capital et eToro, entre autres, ont introduit les portefeuilles TSS pour la première fois en juin 2022, avec la prise en charge des portefeuilles Ethereum ajoutés en octobre.
Des inquiétudes subsistent quant à d’éventuels exploits antérieurs
La vulnérabilité, baptisée BitGo Zero Proof Vulnerability, découle d’une implémentation manquante des preuves Zero-Knowledge Proofs obligatoires dans le protocole de portefeuille BitGo TSS, qui utilise l’algorithme de signature numérique à courbe elliptique (ECDSA).
La vulnérabilité Zero Proof a été initialement découverte dans BitGoJS, le SDK que les clients BitGo utilisent pour interagir avec l’API BitGo. BitGoJS est utilisé pour effectuer des signatures côté client.
L’exploitation de la vulnérabilité sur le SDK permet à un attaquant de voler le partage de clé privée utilisé par le client, quelles que soient ses méthodes de stockage de clé et ses mesures de sécurité.
Malgré les mesures prises par BitGo pour remédier à la vulnérabilité, l’équipe de Fireblocks craint toujours qu’une exploitation antérieure ait pu rendre vulnérables les portefeuilles NFT des marques concernées.
« Tout correctif introduit dans la bibliothèque devrait protéger les portefeuilles qui l’implémentent », a déclaré Arik Galansky, responsable de la technologie, de la recherche et de l’innovation chez Fireblock. « Cependant, cela laisse toujours le souci si quelqu’un a déjà exploité la vulnérabilité dans le passé et extrait la clé. alors qu’il utilisait une bibliothèque vulnérable. »
« Alors que les attaques contre l’industrie de la cryptographie continuent de s’accélérer, les dépositaires agréés sont chargés de sécuriser des milliards de dollars en fonds d’utilisateurs », a déclaré le co-fondateur et CTO de Fireblocks, Idan Ofrat, dans un communiqué partagé avec Decrypt. « La vulnérabilité est le résultat du fait que le fournisseur de portefeuille ne respecte pas une norme cryptographique bien révisée. »
Bien que les portefeuilles générés après le patch doivent être sûrs, selon Fireblocks, les clés de tout portefeuille BitGo Ethereum TSS généré avant la mise à jour doivent être considérées comme potentiellement exposées. Tous les fonds de ces portefeuilles doivent donc être considérés comme à risque et immédiatement transférés vers un portefeuille sécurisé.
