Ontvang nu €10 starttegoed bij Bitvavo en handel tot €10.000 zonder transactiekosten*
Begin nuHet cryptografie-onderzoeksteam van Fireblocks, een blockchain-infrastructuurleverancier, heeft details onthuld van een wetsbaarheid in de Ethereum-wallets van BitGo die het Threshold Signature Scheme (TSS) van het bedrijf gebruiken.
Mogelijk meerdere partijen getroffen
Gebruikers van BitGo, waaronder diverse crypto-exchanges, banken en bekende Web3-merken met honderdduizenden gebruikers, kunnen mogelijk zijn getroffen doordat hun privésleutels zijn blootgesteld. Fireblocks heeft geweigerd de namen van de specifieke getroffen merken bekend te maken, verwijzend naar een geheimhoudingsovereenkomst (NDA).
Fireblocks kon de kwetsbaarheid naar verluidt al eind december van afgelopen jaar identificeren, iets meer dan een maand nadat de service openbaar was gemaakt.
Na de technische details van de kwetsbaarheid bevestigt waren, schortte BitGo naar verluidt de getroffen service op en brachten ze vervolgens een update uit. Het in Palo Alto gevestigde bedrijf eiste ook dat zijn klanten vóór 17 maart naar de nieuwste versie updaten.
Slechts enkele handtekening nodig voor exploit
Vandaag is de aankondiging gedaan aan het einde van een “gecoördineerd openbaarmakingsproces” dat is gevolgd door het onderzoeksteam van Fireblocks in samenwerking met het beveiligingsteam van BitGo.
Volgens Fireblocks had de kwetsbaarheid een aanvaller in staat kunnen stellen om met behulp van een enkele handtekening en enkele seconden rekentijd een volledige privésleutel te extraheren, waarbij alle beveiligingsfuncties van BitGo omzeild konden worden.
BitGo is een beheerder van digitale activa en een beveiligingsbedrijf, dat diverse klanten heeft zoals Bitstamp, Pantera Capital en eToro. TSS-wallets werden in juni 2022 geïntroduceerd, met ondersteuning voor Ethereum-wallets die werden toegevoegd in oktober.
Privésleutels konden gestolen worden
Naar verluidt was de gevonden kwetsbaarheid het gevolg van een ontbrekende implementatie van de verplichte Zero-Knowledge Proofs in het BitGo TSS-walletprotocol, dat gebruik maakt van het Elliptic Curve Digital Signature Algorithm (ECDSA).
De Zero Proof-kwetsbaarheid werd aanvankelijk ontdekt in BitGoJS, de SDK die BitGo-clients gebruiken om te communiceren met de BitGo API. BitGoJS wordt gebruikt voor het uitvoeren van handtekeningen aan de clientzijde.
Door misbruik te maken van de kwetsbaarheid in de SDK kan een aanvaller de privésleutelshare stelen die door de client wordt gebruikt, ongeacht hun sleutelopslagmethoden en beveiligingsmaatregelen.
Alhoewel BitGo maatregelen heeft genomen om de kwetsbaarheid aan te pakken, maakt het team van Fireblocks zich nog steeds zorgen dat eerdere uitbuiting de NFT-wallets van getroffen merken kwetsbaar zou kunnen hebben gemaakt. Een vertegenwoordiger van Fireblocks zei het volgende:
Terwijl de aanvallen op de crypto-industrie steeds sneller gaan, worden gelicentieerde bewaarders belast met het veiligstellen van miljarden dollars aan gebruikersfondsen. De kwetsbaarheid is het gevolg van het feit dat de wallet-aanbieder een goed beoordeelde cryptografische standaard niet heeft gevolgd.
Fireblocks meldt dat alhoewel wallets die na de patch zijn gegenereerd, veilig moeten zijn, de sleutels van iedere BitGo Ethereum TSS-wallet die voorafgaand aan de update is gegenereerd, mogelijk zijn blootgesteld. Daarom beschouwt het bedrijf alle fondsen in die wallets als slot als risico en adviseren ze om deze onmiddellijk naar een veilige wallet te verplaatsen.
Hack nieuws
![Nep-videoconferentiesoftware gebruikt voor crypto-diefstal Nep-videoconferentiesoftware gebruikt voor crypto-diefstal](https://newsbit.nl/app/uploads/2024/07/FakeSoftware.webp)
Nep-videoconferentiesoftware gebruikt voor crypto-diefstal
Deze oplichterij doet denken aan een eerdere hack bij MonoSwap, een gedecentraliseerde exchange en stakingplatform.
![WazirX-hacker verplaatst $57 miljoen aan gestolen fondsen WazirX-hacker verplaatst $57 miljoen aan gestolen fondsen](https://newsbit.nl/app/uploads/2024/07/cryptotheft.webp)
WazirX-hacker verplaatst $57 miljoen aan gestolen fondsen
In een recente onchain-beweging heeft de WazirX-hacker $57 miljoen aan gestolen fondsen overgemaakt naar twee nieuwe cryptocurrency-adressen.
![Datalek bij Fractal ID: Gegevens van 6.300 gebruikers gelekt Datalek bij Fractal ID: Gegevens van 6.300 gebruikers gelekt](https://newsbit.nl/app/uploads/2024/04/YieldProtocolHack.webp)
Datalek bij Fractal ID: Gegevens van 6.300 gebruikers gelekt
Het blockchain-identiteitsplatform Fractal ID heeft een postmortemrapport gepubliceerd over een datalek dat het bedrijf op 14 juli trof.
Meest gelezen
![Elon Musk: Amerika gaat failliet Elon Musk: Amerika gaat failliet](https://newsbit.nl/app/uploads/2022/06/elon-musk-geeft-twitter-medewerkers-geen-update-over-status-van-overname.webp)
Elon Musk: Amerika gaat failliet
Als je het aan Elon Musk vraagt gaat Amerika failliet. De tech-ondernemer is niet blij met het fiscaal en monetair beleid van de VS.
![Tom Lee: Bitcoin koers gaat vanaf hier met 1.100% stijgen Tom Lee: Bitcoin koers gaat vanaf hier met 1.100% stijgen](https://newsbit.nl/app/uploads/2022/07/AdobeStock_241635160-scaled.webp)
Tom Lee: Bitcoin koers gaat vanaf hier met 1.100% stijgen
Tom Lee van Fundstrat is extreem bullish over Bitcoin en voorziet een market cap van 16 biljoen dollar voor de digitale munt.
![Update Ripple vs SEC rechtszaak 22 juli Update Ripple vs SEC rechtszaak 22 juli](https://newsbit.nl/app/uploads/2022/10/AdobeStock_71384555-scaled.webp)
Update Ripple vs SEC rechtszaak 22 juli
Ontdek de laatste ontwikkelingen in de Ripple vs SEC rechtszaak, inclusief speculaties, koersbewegingen en toekomstperspectieven voor XRP op 22 juli.