Bitforge-Schwachstellen offenbart
Fireblocks, ein Unternehmen für digitale Vermögenswerte-Sicherheit, hat Schwachstellen bekannt gegeben, die mehrere Kryptowallets betreffen und unter dem Namen “Bitforge” zusammengefasst werden. Durch diese Schwachstellen könnten Kriminelle Millionen von Kryptowährungen stehlen, ohne direkten Kontakt zu den Besitzern des Wallets oder seinen Anbietern zu haben. Während einige Anbieter bereits Patches angewendet haben, sind andere immer noch verwundbar.
Offenlegung der Bitforge-Schwachstellen
Fireblocks, ein Unternehmen für Sicherheit und Beratung im Bereich der Kryptowährungen, hat öffentlich bekannt gegeben, dass Bitforge mit einer Reihe von Schwachstellen konfrontiert ist, die potenziell Millionen von Kunden betreffen können. Obwohl das Fireblocks-Team diese Probleme bereits im Mai entdeckt hat, wurde ihre Existenz erst jetzt in einer Präsentation mit dem Titel “Small Leaks, Billions Of Dollars: Practical Cryptographic Exploits That Undermine Leading Crypto Wallets” auf der Blackhat-Konferenz 2023 bekannt gegeben.
Diese Schwachstellen greifen die Multi-Party Computation (MPC)-Algorithmen mehrerer Anbieter an. Die erste Schwachstelle betrifft GG18 und GG20, zwei von Fireblocks als “bahnbrechend für die MPC-Wallet-Branche” qualifizierte Protokolle, die von Unternehmen der Branche weit verbreitet eingesetzt werden.
Mit Hilfe dieser Schwachstelle können Kriminelle den privaten Schlüssel abgreifen und die Kontrolle über die Kryptowährung im angegriffenen Wallet übernehmen. Fireblocks hat auch ein Proof-of-Concept für diesen Angriff vorgelegt.
In ähnlicher Weise befasst sich die zweite Schwachstelle mit Lindell17, einem Signing-Protokoll. Fireblocks gibt an, dass dieser Exploit “daher rührt, dass Lindell17-Implementierungen von der Spezifikation des wissenschaftlichen Papers abweichen und Abbrüche bei fehlgeschlagenen Signaturen ignorieren oder falsch behandeln”.
Diese Schwachstelle wurde im Zengo-Wallet entdeckt und später auch beim Coinbase Wallet as a Service (WAAS) bestätigt, wie bei Open-Source-Protokollimplementierungen. Zengo und Coinbase haben ihre Wallets bereits gepatcht, um mit diesem Exploit umzugehen.
Jeff Lunglhofer, Chief Information Security Officer bei Coinbase, bedankte sich bei Fireblocks für die zeitgerechte Offenlegung und erklärte gegenüber Bleeping Computer, dass “obwohl Coinbase-Kunden und -Vermögenswerte nie gefährdet waren, die Aufrechterhaltung eines vollständig vertrauenslosen kryptografischen Modells ein wichtiger Aspekt jeder MPC-Implementierung ist”.
Schwachstellenprüfer
Aufgrund der Anzahl der Wallets, die potenziell von dieser Reihe von Schwachstellen betroffen sind, hat Fireblocks ein Dienstprogramm entwickelt, mit dem Wallet-Anbieter und Benutzer prüfen können, ob ihre Wallets mithilfe dieser Schwachstellen ausgenutzt werden können.
Zum jetzigen Zeitpunkt werden nur Coinbase und Zengo als sicher gegen den Lindell17-Exploit aufgeführt. Fireblocks erklärte, dass nicht alle Wallet-Anbieter aufgeführt werden, weil “es zur DNA der Branche gehört, zusammenzuarbeiten, um stärker zu sein, ohne die Unternehmen öffentlich anzuprangern und ihre Glaubwürdigkeit zu schädigen.”
*Dieser Artikel enthält keine Informationen über den Abschnitt “Falls keine Informationen gegeben wurden, gib bitte nur das Wort ‘Failed’ zurück”.
