Kripto para cüzdanı BitGo, bireysel ve kurumsal kullanıcıların özel anahtarlarını açığa çıkarabilecek kritik bir güvenlik açığını yamaladı.
BitGo, güvenlik açığını yamaladı
Sistem açığını tespit eden şifreleme araştırma ekibi Fireblocks, Aralık 2022’de BitGo ekibine bildirdi. Söz konusu güvenlik açığı BitGo Threshold Signature Scheme (TSS) cüzdanlarıyla ilgiliydi ve borsa, banka, işletme ve platform kullanıcılarının özel anahtarlarını açığa çıkarma potansiyeline sahipti.
Fireblocks ekibi, potansiyel siber saldırganların sadece küçük bir JavaScript kodu kullanarak bir dakikadan kısa bir süre içinde özel bir anahtarı elde etmelerine olanak tanıyan güvenlik açığını BitGo Zero Proof Vulnerability olarak adlandırdı. BitGo, 10 Aralık’ta güvenlik açığı bulunan hizmeti askıya aldı ve Şubat 2023’te, 17 Mart’a kadar en son sürüme yönelik istemci tarafı güncellemelerini gerektiren bir yama yayınladı.
Fireblocks ekibi, mainnet üzerinde ücretsiz bir BitGo hesabı kullanarak istismarı nasıl tespit ettiğini özetledi. BitGo’nun ECDSA TSS cüzdan protokolündeki zorunlu sıfır bilgi kanıtlarının eksik bir kısmı, ekibin basit bir saldırı yoluyla özel anahtarı açığa çıkarmasına izin verdi.
İlginizi çekebilir: Eurler Finance’te 196 milyon dolarlık vurgun!
Öte yandan endüstri standardı kurumsal sınıf kripto para varlık platformları, tek bir saldırı noktası olasılığını ortadan kaldırmak için çoklu taraf hesaplama (MPC/TSS) ya da çoklu imza teknolojisini kullanıyor. Bu da bir tarafın tehlikeye girmesi durumunda güvenlik kontrollerini sağlamak için özel bir anahtarın birden fazla taraf arasında dağıtılmasıyla gerçekleştiriliyor.
Fireblocks, belirlenen bir vektör tarafından herhangi bir saldırı gerçekleştirilmediğini ifade etti. Ancak yine de kullanıcıları yamadan önce yeni cüzdanlar oluşturmayı ve ECDSA TSS BitGo cüzdanlarından para taşımayı düşünmeleri konusunda uyardı.
Ne var ki cüzdanların hack’lenmesi, son yıllarda kripto para endüstrisinde sıradan bir olay haline geldi. Ağustos 2022’de, 7000’den fazla Solana tabanlı Slope cüzdanından 8 milyon doların üzerinde para çekildi. Algorand ağ cüzdan hizmeti MyAlgo ise çeşitli yüksek profilli cüzdanlardan 9 milyon doların üzerinde para çekilmesini sağlayan bir cüzdan saldırısının hedefi oldu.
BitGo, güvenlik açığını yamaladı
Sistem açığını tespit eden şifreleme araştırma ekibi Fireblocks, Aralık 2022’de BitGo ekibine bildirdi. Söz konusu güvenlik açığı BitGo Threshold Signature Scheme (TSS) cüzdanlarıyla ilgiliydi ve borsa, banka, işletme ve platform kullanıcılarının özel anahtarlarını açığa çıkarma potansiyeline sahipti.
Fireblocks ekibi, potansiyel siber saldırganların sadece küçük bir JavaScript kodu kullanarak bir dakikadan kısa bir süre içinde özel bir anahtarı elde etmelerine olanak tanıyan güvenlik açığını BitGo Zero Proof Vulnerability olarak adlandırdı. BitGo, 10 Aralık’ta güvenlik açığı bulunan hizmeti askıya aldı ve Şubat 2023’te, 17 Mart’a kadar en son sürüme yönelik istemci tarafı güncellemelerini gerektiren bir yama yayınladı.
Fireblocks ekibi, mainnet üzerinde ücretsiz bir BitGo hesabı kullanarak istismarı nasıl tespit ettiğini özetledi. BitGo’nun ECDSA TSS cüzdan protokolündeki zorunlu sıfır bilgi kanıtlarının eksik bir kısmı, ekibin basit bir saldırı yoluyla özel anahtarı açığa çıkarmasına izin verdi.
İlginizi çekebilir: Eurler Finance’te 196 milyon dolarlık vurgun!
Öte yandan endüstri standardı kurumsal sınıf kripto para varlık platformları, tek bir saldırı noktası olasılığını ortadan kaldırmak için çoklu taraf hesaplama (MPC/TSS) ya da çoklu imza teknolojisini kullanıyor. Bu da bir tarafın tehlikeye girmesi durumunda güvenlik kontrollerini sağlamak için özel bir anahtarın birden fazla taraf arasında dağıtılmasıyla gerçekleştiriliyor.
Fireblocks, belirlenen bir vektör tarafından herhangi bir saldırı gerçekleştirilmediğini ifade etti. Ancak yine de kullanıcıları yamadan önce yeni cüzdanlar oluşturmayı ve ECDSA TSS BitGo cüzdanlarından para taşımayı düşünmeleri konusunda uyardı.
Ne var ki cüzdanların hack’lenmesi, son yıllarda kripto para endüstrisinde sıradan bir olay haline geldi. Ağustos 2022’de, 7000’den fazla Solana tabanlı Slope cüzdanından 8 milyon doların üzerinde para çekildi. Algorand ağ cüzdan hizmeti MyAlgo ise çeşitli yüksek profilli cüzdanlardan 9 milyon doların üzerinde para çekilmesini sağlayan bir cüzdan saldırısının hedefi oldu.