Crypto Wallet BitGo corrige una falla grave que podría exponer las claves privadas de los usuarios

• BitGo Zero Proof Vulnerability es lo que el equipo de Fireblocks ha denominado la falla.
• El equipo de Fireblocks detalló su descubrimiento de la falla utilizando una cuenta gratuita de la red principal de BitGo.

BiTIruna billetera de criptomonedas popular, solucionó una falla importante que podría haber expuesto las claves privadas de sus usuarios minoristas e institucionales.

En diciembre de 2022, el equipo de investigación de criptografía de Fireblocks descubrió la vulnerabilidad y notificó a BitGo al respecto. Las billeteras BitGo Threshold Signature Scheme (TSS) eran susceptibles a la falla, lo que podría haber comprometido las claves privadas de los usuarios de la plataforma, los intercambios, los bancos y las empresas.

Actualizar a la última versión

La vulnerabilidad BitGo Zero Proof es lo que el bloques de fuego El equipo denominó la falla que podría permitir a un atacante robar la clave privada de un usuario en menos de un minuto con unas pocas líneas de código JavaScript. Después de descubrir la falla de seguridad el 10 de diciembre, BitGo cerró inmediatamente el servicio y lanzó un parche en febrero de 2023, lo que requiere que todos los clientes actualicen a la última versión antes del 17 de marzo.

El equipo de Fireblocks detalló su descubrimiento de la falla utilizando una cuenta gratuita de la red principal de BitGo. El protocolo de billetera BitGo ECDSA TSS tenía una falla que lo hacía vulnerable a un ataque trivial porque carecía de una prueba de conocimiento cero requerida.

Fireblocks demostró que hay dos formas en que un atacante, interno o externo, puede obtener una clave privada completa.

Cualquiera con acceso del lado del cliente puede iniciar una transacción para robar una parte de la clave privada almacenada en el sistema de BitGo. Después de calcular la firma, BitGo filtraría el fragmento de clave de BitGo y revelaría información confidencial.

Sin embargo, Fireblocks ha aconsejado a los usuarios que consideren abrir nuevas billeteras y transferir fondos de las billeteras ECDSA BitGo antes de que se publique la solución, incluso si no se han realizado ataques utilizando la vulnerabilidad informada.