Het cryptografie-onderzoeksteam van Fireblocks, een blockchain-infrastructuurleverancier, heeft details onthuld van een wetsbaarheid in de Ethereum-wallets van BitGo die het Threshold Signature Scheme (TSS) van het bedrijf gebruiken.
Mogelijk meerdere partijen getroffen
Gebruikers van BitGo, waaronder diverse crypto-exchanges, banken en bekende Web3-merken met honderdduizenden gebruikers, kunnen mogelijk zijn getroffen doordat hun privésleutels zijn blootgesteld. Fireblocks heeft geweigerd de namen van de specifieke getroffen merken bekend te maken, verwijzend naar een geheimhoudingsovereenkomst (NDA).
Fireblocks kon de kwetsbaarheid naar verluidt al eind december van afgelopen jaar identificeren, iets meer dan een maand nadat de service openbaar was gemaakt.
Na de technische details van de kwetsbaarheid bevestigt waren, schortte BitGo naar verluidt de getroffen service op en brachten ze vervolgens een update uit. Het in Palo Alto gevestigde bedrijf eiste ook dat zijn klanten vóór 17 maart naar de nieuwste versie updaten.
Slechts enkele handtekening nodig voor exploit
Vandaag is de aankondiging gedaan aan het einde van een “gecoördineerd openbaarmakingsproces” dat is gevolgd door het onderzoeksteam van Fireblocks in samenwerking met het beveiligingsteam van BitGo.
Volgens Fireblocks had de kwetsbaarheid een aanvaller in staat kunnen stellen om met behulp van een enkele handtekening en enkele seconden rekentijd een volledige privésleutel te extraheren, waarbij alle beveiligingsfuncties van BitGo omzeild konden worden.
BitGo is een beheerder van digitale activa en een beveiligingsbedrijf, dat diverse klanten heeft zoals Bitstamp, Pantera Capital en eToro. TSS-wallets werden in juni 2022 geïntroduceerd, met ondersteuning voor Ethereum-wallets die werden toegevoegd in oktober.
Privésleutels konden gestolen worden
Naar verluidt was de gevonden kwetsbaarheid het gevolg van een ontbrekende implementatie van de verplichte Zero-Knowledge Proofs in het BitGo TSS-walletprotocol, dat gebruik maakt van het Elliptic Curve Digital Signature Algorithm (ECDSA).
De Zero Proof-kwetsbaarheid werd aanvankelijk ontdekt in BitGoJS, de SDK die BitGo-clients gebruiken om te communiceren met de BitGo API. BitGoJS wordt gebruikt voor het uitvoeren van handtekeningen aan de clientzijde.
Door misbruik te maken van de kwetsbaarheid in de SDK kan een aanvaller de privésleutelshare stelen die door de client wordt gebruikt, ongeacht hun sleutelopslagmethoden en beveiligingsmaatregelen.
Alhoewel BitGo maatregelen heeft genomen om de kwetsbaarheid aan te pakken, maakt het team van Fireblocks zich nog steeds zorgen dat eerdere uitbuiting de NFT-wallets van getroffen merken kwetsbaar zou kunnen hebben gemaakt. Een vertegenwoordiger van Fireblocks zei het volgende:
Terwijl de aanvallen op de crypto-industrie steeds sneller gaan, worden gelicentieerde bewaarders belast met het veiligstellen van miljarden dollars aan gebruikersfondsen. De kwetsbaarheid is het gevolg van het feit dat de wallet-aanbieder een goed beoordeelde cryptografische standaard niet heeft gevolgd.
Fireblocks meldt dat alhoewel wallets die na de patch zijn gegenereerd, veilig moeten zijn, de sleutels van iedere BitGo Ethereum TSS-wallet die voorafgaand aan de update is gegenereerd, mogelijk zijn blootgesteld. Daarom beschouwt het bedrijf alle fondsen in die wallets als slot als risico en adviseren ze om deze onmiddellijk naar een veilige wallet te verplaatsen.
Crypto-hacks dalen bijna 50%, maar experts waarschuwen: ‘De dreiging groeit juist’
De totale financiële schade door cyberaanvallen op de blockchainsector is in de eerste helft van 2026 met 46,8% gedaald tot 1,31 miljard dollar.
Beveiligingslek brengt duizenden cryptowallets in gevaar
Duizenden cryptowallets zijn mogelijk kwetsbaar voor diefstal door een beveiligingslek bij het aanmaken van zogeheten seed phrases.
Belgische tiener opgepakt om phishingnetwerk van half miljoen
De Belgische autoriteiten hebben een 19-jarige verdachte aangehouden die volgens justitie een belangrijke rol speelde in een Europees phishing- en witwasnetwerk.
Meest gelezen
Ex Google-engineer verkoopt al zijn Bitcoin: ‘Het is voorbij’
Oud-Google-engineer TechLead verkocht al zijn Bitcoin met fors verlies. Volgens hem is de markt kwetsbaar, maar hij blijft op lange termijn positief.
Bitcoin-fortuin van drugsdealer belandde bij het afval, tot Europol ingreep
Ierse autoriteiten halen 1.500 Bitcoin uit verloren wallets van drugsdealer en roepen daarmee nieuwe vragen op over private keys.
Dit is waarom Bitcoin, goud en zilver tegelijk onderuit gaan
Bitcoin, maar ook goud en zilver zetten al langere tijd droevige resultaten neer, terwijl Wall Street wél stijgt. Wat speelt er precies?
