سلسلة من الثغرات الأمنية تؤثر على محافظ العملات الرقمية.. ما هي؟

كشف باحثون في شركة Fireblocks Inc، وهي شركة بنية تحتية للأصول الرقمية، عن اكتشاف العديد من نقاط الضعف في يوم الصفر والتي تؤثر على محافظ العملات الرقمية والتي إذا تُركت دون تصحيح، فقد تسمح للمهاجمين أو الأطراف الخبيثة باستنزاف الأموال. أطلق الباحثون على سلسلة الثغرات الأمنية اسم “BitForge” في إعلان بعد ظهر الأربعاء وقالوا إنهم أثروا على عدد من مزودي المحفظة بما في ذلك من Coinbase Inc. وZengo Ltd. و Binance Holdings Ltd.  قام كبار منتجي المحفظة بترقية محافظهم بإصلاحات أمنية ولم تعد تتأثر.

أوضح الباحثون أن ثغرة BitForge تؤثر على المحافظ التي تنفذ بروتوكولات حساب متعددة الأطراف بما في ذلك GG-18 و GG-20 وLindell 17.

هذا إجراء أمني مهم في معاملات الأصول الرقمية التي تمكن العديد من الأطراف من الموافقة على تنفيذ معاملة عن طريق  تقسيم مفتاح خاص واحد بينهم.  هذا يجعل من الصعب اختراق المحفظة المشفرة ويعني أيضاً أنه لا يمكن لأي شخص الوصول إلى الأموال دون الآخرين.

يسمح عيب GG-18 و GG-20 للمهاجم بسحب المفتاح الخاص الكامل بسبب عدم وجود دليل عدم المعرفة، والذي سيسمح للمهاجم بالسيطرة على أموال المحفظة واستنزافها.

تأتي ثغرة Lindell 17 من مزودي المحفظة الذين لا يتبعون التنفيذ الأكاديمي، مما خلق بابًا خلفيًا للمهاجمين لاكتشاف أجزاء من المفتاح الخاص عند فشل التوقيع ، مما يسمح للمهاجم بتجميع المفتاح بالكامل بعد عدد كبير من عمليات التوقيع الفاشلة (يتطلب الأمر) ما يقرب من 200 محاولة توقيع فاشلة).

قال بافيل بيرينغولتز ، الشريك المؤسس وكبير مسؤولي التكنولوجيا في Fireblocks، مع استمرار اكتساب التمويل اللامركزي وويب3 شعبية، فإن الحاجة إلى المحفظة الآمنة ومزودي الإدارة الرئيسيين باتت واضحة.

“بينما نشجعنا على رؤية أن MPC موجودة الآن في كل مكان في صناعة الأصول الرقمية ، يتضح من النتائج التي توصلنا إليها – وعملية الإفصاح اللاحقة – أنه ليس كل مطوري وفرق MPC متساوية.”

قال فريق أمان Fireblocks إنه أجرى البحث وكشف عن حالة الضعف لأكثر من 15 من موفري ومشاريع محفظة الأصول الرقمية المختلفة على مدار بحثه.

أضاف Fireblocks أن محافظ MPC التي توفرها الشركة نفسها لم تتأثر وأن أموال العملاء تظل آمنة من الهجوم.

قال Changpeng Zhao، الرئيس التنفيذي لبينانس، أكبر بورصة تشفير في العالم من حيث الحجم ، إن المشكلة أثرت على محفظة الشركة ، ولكن تم إصلاحها بعد اكتشاف Fireblocks لها.  قال تشاو في منشور على تويتر: “كانت هذه المشكلة موجودة في TSS Library Binance مفتوحة المصدر ، والتي تم إصلاحها”.  “لم تتأثر أموال مستخدم بينانس.  حتى حلول العهدة MPC تنطوي على مخاطر “.

شكر جيف لونجلهوفر، كبير مسؤولي أمن المعلومات في كوينبيس، Fireblocks على كشفها المسؤول عن المشكلة.  قال لونجلهوفر: “على الرغم من أن عملاء كوينبيس وصناديقهم لم يكونوا في خطر أبدًا ، فإن الحفاظ على نموذج تشفير غير موثوق به بالكامل يعد جانبًا مهمًا من أي تطبيق MPC”.  “إن وضع شريط عالي للسلامة في الصناعة يحمي النظام البيئي وهو أمر بالغ الأهمية لاعتماد هذه التكنولوجيا على نطاق أوسع.”

نظرًا لأن فريق الأمان على دراية بالعديد من المحافظ الأخرى التي تتأثر بـ BitForge، فقد نشر فريق الأمان موقع BitForge Status Checker للمشاريع والشركات التي تستخدم تطبيقات مغلقة.