El monedero de criptomonedas BitGo ha parcheado una vulnerabilidad crítica que podría haber expuesto las claves privadas de usuarios minoristas e institucionales.
Equipo de investigación en criptografía Fireblocks identificado el fallo y lo notificó al equipo de BitGo en diciembre de 2022. La vulnerabilidad estaba relacionada con los monederos BitGo Threshold Signature Scheme (TSS) y tenía el potencial de exponer las claves privadas de intercambios, bancos, empresas y usuarios de la plataforma.
El equipo de Fireblocks denominó a la vulnerabilidad BitGo Zero Proof Vulnerability, que permitiría a posibles atacantes extraer una clave privada en menos de un minuto utilizando una pequeña cantidad de código JavaScript. BitGo suspendió el servicio vulnerable el 10 de diciembre y publicó un parche en febrero de 2023 que exigía actualizaciones del lado del cliente a la última versión antes del 17 de marzo.
El equipo de Fireblocks explicó cómo identificó el exploit utilizando una cuenta gratuita de BitGo en mainnet. Una parte que faltaba en las pruebas obligatorias de conocimiento-cero del protocolo de monedero ECDSA TSS de BitGo permitió al equipo exponer la clave privada mediante un sencillo ataque.
Relacionado: Euler Finance hackeada por más de 195 millones de dólares en un ataque de préstamos flash
Las plataformas de activos de criptomoneda de nivel empresarial estándar de la industria hacen uso de la tecnología de computación multiparte (MPC/TSS) o multifirma para eliminar la posibilidad de un único punto de ataque. Esto se hace distribuyendo una clave privada entre varias partes, para garantizar los controles de seguridad si una de las partes se ve comprometida.
Fireblocks pudo demostrar que atacantes internos o externos podían acceder a una clave privada completa a través de dos medios posibles.
Un usuario comprometido del lado del cliente podría iniciar una transacción para adquirir una porción de la clave privada mantenida en el sistema de BitGo. BitGo realizaría entonces el cálculo de firma antes de compartir información que filtre el fragmento de clave de BitGo.
“El atacante puede ahora reconstruir la clave privada completa, cargarla en un monedero externo y retirar los fondos inmediatamente o más adelante”.
El segundo escenario consideraba un ataque si BitGo estaba comprometido. Un atacante esperaría a que un cliente iniciara una transacción, antes de responder con un valor malicioso. Este valor se utiliza para firmar la transacción con el fragmento de clave del cliente. El atacante puede utilizar la respuesta para revelar el fragmento de clave del usuario, antes de combinarlo con el fragmento de clave de BitGo para hacerse con el control del monedero.
Fireblocks señaló que no se han llevado a cabo ataques por el vector identificado, pero advirtió a los usuarios que considerasen crear nuevos monederos y mover fondos de los monederos ECDSA TSS de BitGo antes del parche.
Los hackeos de carteras han sido habituales en toda la industria de las criptodivisas en los últimos años. En agosto de 2022, más de 8 millones de dólares fueron sustraídos de más de 7.000 carteras Slope basadas en Solana. El servicio de monedero de la red Algorand, MyAlgo, también fue objeto de un hackeo de monederos en el que se sustrajeron más de 9 millones de dólares de varios monederos de alto perfil.
Source: COIN TELEGRAPH