Fireblocks onthult kritieke kwetsbaarheid in BitGo Ethereum-wallets

Het cryptografie-onderzoeksteam van Fireblocks, een blockchain-infrastructuurleverancier, heeft details onthuld van een wetsbaarheid in de Ethereum-wallets van BitGo die het Threshold Signature Scheme (TSS) van het bedrijf gebruiken.

Mogelijk meerdere partijen getroffen

Gebruikers van BitGo, waaronder diverse crypto-exchanges, banken en bekende Web3-merken met honderdduizenden gebruikers, kunnen mogelijk zijn getroffen doordat hun privésleutels zijn blootgesteld. Fireblocks heeft geweigerd de namen van de specifieke getroffen merken bekend te maken, verwijzend naar een geheimhoudingsovereenkomst (NDA).

Fireblocks kon de kwetsbaarheid naar verluidt al eind december van afgelopen jaar identificeren, iets meer dan een maand nadat de service openbaar was gemaakt.

Na de technische details van de kwetsbaarheid bevestigt waren, schortte BitGo naar verluidt de getroffen service op en brachten ze vervolgens een update uit. Het in Palo Alto gevestigde bedrijf eiste ook dat zijn klanten vóór 17 maart naar de nieuwste versie updaten.

Slechts enkele handtekening nodig voor exploit

Vandaag is de aankondiging gedaan aan het einde van een “gecoördineerd openbaarmakingsproces” dat is gevolgd door het onderzoeksteam van Fireblocks in samenwerking met het beveiligingsteam van BitGo.

Volgens Fireblocks had de kwetsbaarheid een aanvaller in staat kunnen stellen om met behulp van een enkele handtekening en enkele seconden rekentijd een volledige privésleutel te extraheren, waarbij alle beveiligingsfuncties van BitGo omzeild konden worden.

BitGo is een beheerder van digitale activa en een beveiligingsbedrijf, dat diverse klanten heeft zoals Bitstamp, Pantera Capital en eToro. TSS-wallets werden in juni 2022 geïntroduceerd, met ondersteuning voor Ethereum-wallets die werden toegevoegd in oktober.

Privésleutels konden gestolen worden

Naar verluidt was de gevonden kwetsbaarheid het gevolg van een ontbrekende implementatie van de verplichte Zero-Knowledge Proofs in het BitGo TSS-walletprotocol, dat gebruik maakt van het Elliptic Curve Digital Signature Algorithm (ECDSA).

De Zero Proof-kwetsbaarheid werd aanvankelijk ontdekt in BitGoJS, de SDK die BitGo-clients gebruiken om te communiceren met de BitGo API. BitGoJS wordt gebruikt voor het uitvoeren van handtekeningen aan de clientzijde.

Door misbruik te maken van de kwetsbaarheid in de SDK kan een aanvaller de privésleutelshare stelen die door de client wordt gebruikt, ongeacht hun sleutelopslagmethoden en beveiligingsmaatregelen.

Alhoewel BitGo maatregelen heeft genomen om de kwetsbaarheid aan te pakken, maakt het team van Fireblocks zich nog steeds zorgen dat eerdere uitbuiting de NFT-wallets van getroffen merken kwetsbaar zou kunnen hebben gemaakt. Een vertegenwoordiger van Fireblocks zei het volgende:

Terwijl de aanvallen op de crypto-industrie steeds sneller gaan, worden gelicentieerde bewaarders belast met het veiligstellen van miljarden dollars aan gebruikersfondsen. De kwetsbaarheid is het gevolg van het feit dat de wallet-aanbieder een goed beoordeelde cryptografische standaard niet heeft gevolgd.

Fireblocks meldt dat alhoewel wallets die na de patch zijn gegenereerd, veilig moeten zijn, de sleutels van iedere BitGo Ethereum TSS-wallet die voorafgaand aan de update is gegenereerd, mogelijk zijn blootgesteld. Daarom beschouwt het bedrijf alle fondsen in die wallets als slot als risico en adviseren ze om deze onmiddellijk naar een veilige wallet te verplaatsen.