- Fireblocks 团队将此漏洞称为 BitGo 零证明漏洞。
- Fireblocks 团队使用免费的 BitGo 主网帐户详细描述了发现该漏洞的过程。
流行的加密货币钱包 BitGo 修复了一个严重缺陷,该缺陷可能会暴露其零售和机构用户的私钥。
2022 年 XNUMX 月,Fireblocks 密码学研究团队发现了该漏洞并将其告知 BitGo。 BitGo 阈值签名方案 (TSS) 钱包容易受到该缺陷的影响,这可能会危及平台用户、交易所、银行和企业的私钥。
升级到最新版本
BitGo 零证明漏洞被 Fireblocks 团队称为该漏洞,攻击者只需几行 JavaScript 代码即可在一分钟内窃取用户的私钥。 在 10 月 2023 日发现安全漏洞后,BitGo 立即禁用该服务并于 17 年 XNUMX 月发布补丁,要求所有客户端在 XNUMX 月 XNUMX 日之前升级到最新版本。
Fireblocks 团队使用免费的 BitGo 主网帐户详细描述了发现该漏洞的过程。 BitGo ECDSA TSS 钱包协议存在一个缺陷,由于缺乏必需的零知识证明,因此容易受到轻微攻击。
Fireblocks 证明了攻击者(无论是内部还是外部)可以通过两种方式获得完整的私钥。
任何有权访问客户端的人都可以发起交易以窃取存储在 BitGo 系统中的一段私钥。 在签名计算之后,BitGo 将通过泄露敏感信息来泄露 BitGo 密钥碎片。
尽管如此,Fireblocks 建议用户在修复发布之前考虑打开新钱包并从 ECDSA BitGo 钱包转移资金,即使没有利用报告的漏洞进行攻击。
来源:https://thenewscrypto.com/crypto-wallet-bitgo-fixes-serious-flaw-that-could-expose-users-private-keys/