Mais de 15 projetos e provedores de carteiras de criptomoedas amplamente utilizados apresentam vulnerabilidades que podem levar à drenagem de milhões de carteiras de criptomoedas, de acordo com a empresa de infraestrutura de ativos digitais Fireblocks.
Em um comunicado de imprensa divulgado em 9 de agosto, a Fireblocks disse que a série de vulnerabilidades, apelidada de BitForge, está afetando as carteiras que usam a tecnologia de computação multipartidária (MPC), que permite que várias partes controlem e gerenciem seus fundos.
1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
1/ A equipe de pesquisa da Fireblocks descobriu o BitForge, um conjunto de vulnerabilidades em alguns dos protocolos MPC mais amplamente adotados no mercado, que permite que um invasor recupere as chaves privadas a partir de um único dispositivo. Leia mais
— Fireblocks (@FireblocksHQ)
Os problemas identificados seriam um tipo de vulnerabilidades classificada como de "dia zero", o que significa que as falhas não haviam sido identificadas anteriormente pelos projetos.
"Se não forem corrigidas, as vulnerabilidades permitirão que invasores e atores mal-intencionadas drenem fundos de carteiras de milhões de clientes institucionais e de varejo em segundos, sem que o usuário ou o fornecedor tenha conhecimento."
A empresa divulgou que as vulnerabilidades afetaram muitos dos principais aplicativos de carteiras, incluindo a Coinbase, a Zengo e a Binance. Após um "período de divulgação de 90 dias" padrão, as três empresas já teriam resolvido os problemas identificados.
Em um comunicado, o diretor de segurança da informação da Coinbase, Jeff Lunglhofer, agradeceu à Fireblocks por identificar e divulgar o problema de forma responsável, acrescentando que os clientes da Coinbase e seus fundos nunca estiveram em risco. O diretor de tecnologia da Zengo, Tal Be'ery, observou que o problema foi prontamente corrigido e que nenhum usuário foi afetado.
3/ We want to extend our gratitude to the researchers at Fireblocks for identifying this issue, conducting an ethical disclosure, and helping to improve the security of the ecosystem.
— Coinbase Cloud ️ (@CoinbaseCloud) August 9, 2023
3/ Gostaríamos de oferecer nossa gratidão aos pesquisadores da Fireblocks por identificarem esse problema, conduzirem uma divulgação ética, contribubindo para melhorar a segurança do ecossistema.
— Coinbase Cloud ️ (@CoinbaseCloud)
A Fireblocks informou que está trabalhando para identificar outros produtos que possam ser alvo de problemas de segurança semelhantes e que entrou em contato com outros provedores de carteiras.
This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!
— CZ Binance (@cz_binance) August 10, 2023
No @Binance user funds affected.
Even MPC custody solutions have risks. Stay #SAFU! https://t.co/UneRs7VOj7
Esse problema estava presente na biblioteca TSS de código aberto da Binance, e foi corrigido. Agradecemos à Fireblocks por ter descoberto o problema!
Nenhum fundo de usuários da @Binance foi afetado.
Mesmo as soluções de custódia MPC têm riscos. Fique #SAFU!
— CZ Binance (@cz_binance)
O CEO da Binance, Changpeng Zhao, também agradeceu à Fireblocks por ter descoberto a vulnerabilidade, já que a exchange de criptomoedas conseguiu corrigir os problemas antes que qualquer dano pudesse afetar os seus clientes.
As carteiras MPC criptografam a chave privada de um usuário e a compartilham com várias partes – normalmente o proprietário da carteira, um provedor de carteira e um outro terceiro. Teoricamente, nenhuma dessas entidades deve ser capaz de desbloquear a carteira sem antes se comunicar com as outras.
No entanto, de acordo com o relatório técnico da Fireblocks sobre o BitForge, as vulnerabilidades teriam permitido que os hackers seriam capazes de "extrair a chave privada completa se conseguissem comprometer apenas um dispositivo."
"Embora estejamos entusiasmados em ver que o sistema MPC é onipresente no setor de ativos digitais agora, é evidente a partir de nossas descobertas – e de nosso processo de divulgação subsequente – que nem todos os produtos de MPC são criados iguais", disse o diretor de tecnologia e cofundador da Fireblocks, Pavel Berengoltz.
"As empresas que utilizam a tecnologia Web3 devem trabalhar em estreita colaboração com especialistas em segurança que tenham o conhecimento e os recursos necessários para se antecipar às vulnerabilidades e minimizá-las", acrescentou.
LEIA MAIS
