Генеральный директор Binance устраняет уязвимость BitForge: средства в безопасности
Генеральный директор Binance Чанпэн Чжао выступил с заявлением, чтобы решить проблемы, связанные с уязвимостью BitForge. Эта проблема безопасности, обнаруженная исследовательской группой Fireblocks, была выявлена в некоторых из наиболее широко распространенных протоколов многосторонних вычислений (MPC), включая GG-18, GG-20 и Lindell17.
Чанпэн Чжао в обнадеживающем заявлении заявил сегодня через Twitter: «Эта проблема присутствовала в библиотеке Binance Threshold Signature Scheme (TSS) с открытым исходным кодом, которая была исправлена. Спасибо Fireblocks за это открытие! Средства пользователей Binance не пострадали. Даже кастодиальные решения MPC сопряжены с рисками. Оставайся #САФУ!»
Погружаясь глубже в выводы BitForge
Исследование Fireblocks показало, что BitForge представляет собой серию уязвимостей нулевого дня, которые потенциально могут позволить злоумышленникам с привилегированным доступом выводить средства из кошельков без ведома пользователя или поставщика, часто за считанные секунды.
Особую тревогу вызывали уязвимости в протоколах GG18 и GG20. Эти протоколы, широко используемые поставщиками кошельков MPC, имели недостаток из-за отсутствия доказательства с нулевым разглашением, что могло привести к полной краже секретного ключа.
Протоколы GG-18 и GG-20 ранее были обновлены в 2020 году для исправления известной уязвимости. Однако эти модификации непреднамеренно привнесли еще одну уязвимость. Серьезность этого недостатка зависит от конкретной реализации протоколов GG разными поставщиками кошельков. В некоторых случаях злоумышленники могли извлечь ключи всего за 16 подписей, в то время как в других для этого потребовалось до 1 миллиарда подписей.
С другой стороны, уязвимость протокола Lindell17 является результатом отклонений от спецификаций исходной научной статьи. Это отклонение может привести к неправильному обращению с неудачными подписями, создавая потенциальный лазейку для злоумышленников. Злоумышленник может использовать сторону, завершающую процесс подписи, будь то поставщик кошелька или пользователь, для эксфильтрации ключа после примерно 200 запросов подписи.
Binance и ответ индустрии
Открытие Fireblocks не только выявило потенциальные уязвимости, но и подчеркнуло важность тщательных проверок безопасности и необходимость непрерывных исследований в криптопространстве. Быстрое признание и исправление проблемы Binance в их библиотеке TSS с открытым исходным кодом свидетельствует об активной позиции отрасли в отношении потенциальных угроз.
В то время как криптосообщество сохраняет бдительность, прозрачность и оперативность, продемонстрированные Binance и другими затронутыми поставщиками кошельков, заслуживают похвалы. Однако, как справедливо подчеркивал Чанпэн Чжао, даже самые надежные решения могут иметь уязвимости.
На момент написания статьи Binance Coin (BNB) торговалась на уровне 241,9 доллара, демонстрируя небольшой восходящий тренд после годового минимума в 220 долларов 12 июня. Однако, чтобы подтвердить бычий разворот, BNB необходимо преодолеть сопротивление на уровне 258 долларов.