Fireblocks 披露了影响数十家钱包提供商的 Bitforge 漏洞

加密货币资产安全和咨询公司 Fireblocks 公开披露 Bitforge 正面临一系列钱包漏洞，可能会影响数百万客户。虽然 Fireblocks 团队早在 5 月份就发现了这些问题，但他们刚刚在 Blackhat 2023 会议的题为“小泄漏，数十亿美元：破坏领先加密钱包的实用加密漏洞”的演讲中宣布了这些问题的存在。

这些漏洞攻击多个供应商的多方计算（MPC）算法。第一个漏洞与 GG18 和 GG20 有关，这两个协议被 Fireblocks 评为“MPC 钱包行业的先驱”和“被该领域的公司广泛采用”。

该漏洞允许犯罪分子窃取私钥并控制受攻击钱包中的加密货币。Fireblocks 还为这次攻击提供了概念验证。

同样，第二个漏洞涉及签名协议 Lindell17。Fireblocks 指出，此漏洞“源自 Lindell17 的实现，该实现偏离了学术论文的规范，并在签名失败的情况下忽略或错误处理中止。”

该漏洞是在 Zengo 钱包中发现的，后来被证实可以针对 Coinbase 钱包即服务 (WAAS)，如开源协议实现中那样。Zengo 和 Coinbase 已经修补了他们的钱包以应对这一漏洞。

Coinbase 首席信息安全官 Jeff Lunglhofer 感谢 Fireblocks 的及时披露，他告诉 Bleeping Computer，“虽然 Coinbase 的客户和资金从未面临风险，但维护完全无需信任的加密模型是任何 MPC 实施的一个重要方面。”

由于可能受这组漏洞影响的钱包数量较多，Fireblocks 构建了一个实用程序，允许钱包提供商和用户检查他们的钱包是否可以利用这些漏洞进行利用。

当时，只有 Coinbase 和 Zengo 被列为可安全抵御 Lindell17 漏洞的。Fireblocks 解释说，并非所有钱包提供商都被展示，因为“该行业 DNA 的一部分是共同努力，在公众视线之外变得更强大，而不是公开呼吁公司并损害他们的信誉。”