Crypto Wallet BitGo corregge un grave difetto che potrebbe esporre le chiavi private degli utenti

• BitGo Zero Proof Vulnerability è ciò che il team di Fireblocks ha soprannominato il difetto.
• Il team di Fireblocks ha dettagliato la sua scoperta del difetto utilizzando un account mainnet BitGo gratuito.

BitGo, un popolare portafoglio di criptovalute, ha risolto un grave difetto che avrebbe potuto esporre le chiavi private dei suoi utenti al dettaglio e istituzionali.

Nel dicembre 2022, il team di ricerca sulla crittografia di Fireblocks ha scoperto la vulnerabilità e ne ha informato BitGo. I portafogli BitGo Threshold Signature Scheme (TSS) erano suscettibili al difetto, che avrebbe potuto compromettere le chiavi private degli utenti, degli scambi, delle banche e delle aziende della piattaforma.

Aggiorna alla versione recente

BitGo Zero Proof Vulnerability è ciò che il team di Fireblocks ha soprannominato il difetto che potrebbe consentire a un utente malintenzionato di rubare la chiave privata di un utente in meno di un minuto con poche righe di codice JavaScript. Dopo aver scoperto la falla di sicurezza il 10 dicembre, BitGo ha immediatamente disattivato il servizio e rilasciato una patch nel febbraio 2023, imponendo a tutti i client di eseguire l'aggiornamento alla versione più recente entro il 17 marzo.

Il team di Fireblocks ha dettagliato la sua scoperta del difetto utilizzando un account mainnet BitGo gratuito. Il protocollo del portafoglio BitGo ECDSA TSS aveva un difetto che lo rendeva vulnerabile a un attacco banale perché mancava una prova di conoscenza zero richiesta.

Fireblocks ha dimostrato che ci sono due modi in cui un utente malintenzionato, interno o esterno, può ottenere una chiave privata completa.

Chiunque abbia accesso al lato client può avviare una transazione per rubare un pezzo della chiave privata memorizzata nel sistema di BitGo. Dopo il calcolo della firma, BitGo farebbe trapelare il frammento della chiave BitGo rivelando informazioni sensibili.

Tuttavia, Fireblocks ha consigliato agli utenti di prendere in considerazione l'apertura di nuovi portafogli e il trasferimento di fondi dai portafogli ECDSA BitGo prima che la correzione venga rilasciata, anche se non sono stati effettuati attacchi utilizzando la vulnerabilità segnalata.