La compañía BitGo Inc., que brinda servicios de billetera de criptomoneda para empresas, ha corregido una falla importante que podría haber comprometido las claves privadas de los usuarios de Ethereum. Fue la firma Fireblocks Inc., encargada de la seguridad de activos digitales, la que descubrió la vulnerabilidad y notificó a BitGo en diciembre. El exploit estaba relacionado con el protocolo Threshold Signature Plan de BitGo, que podría permitir a los atacantes robar las claves privadas con un código JavaScript.
Fireblocks denominó la falla como «Vulnerabilidad de prueba cero», ya que explotó una capa de seguridad que faltaba en el protocolo TSS del algoritmo de firma electronic de curva elíptica que usaba pruebas de conocimiento cero. Después de notificar a BitGo sobre la falla, Fireblocks dijo que BitGo desconectó el servicio afectado y lanzó un parche en febrero que requería que todos los clientes afectados actualizaran su software de billetera hoy.
BitGo, por su parte, ha afirmado que la billetera individual que se vio afectada estaba en acceso temprano y solo period accesible para 20 desarrolladores, lo que limita el daño whole que podría haberse hecho si hubiera sido explotado. La compañía añadió que todos sus productos son de código abierto y su equipo respalda sus procesos de seguridad de código abierto y agradece un mayor escrutinio por parte del resto de la comunidad.
En respuesta a la revelación, BitGo ha acusado a Fireblocks de «tratar de generar miedo innecesario» y «convertir una brecha conocida en un truco publicitario». Sin embargo, Fireblocks sostiene que mantuvo una «divulgación coordinada» full con BitGo sobre la vulnerabilidad.
Resumen de Noticias Blockchain – BitGo corrige una falla crítica en el software de billetera Ethereum descubierto por Fireblocks
La empresa BitGo Inc. resolvió una falla crítica que ponía en riesgo las claves privadas de Ethereum de los usuarios debido a una vulnerabilidad descubierta por investigadores de la firma Fireblocks Inc. El exploit estaba relacionado con el protocolo BitGo Threshold Signature Plan, que permitía a un atacante robar las claves privadas utilizando un pequeño código Javascript. La vulnerabilidad fue notificada por los investigadores a BitGo en diciembre y fue solucionada con un parche en febrero. BitGo declaró que la billetera en cuestión estaba en acceso temprano y solo period accesible para 20 desarrolladores, limitando el daño complete que podría haberse hecho si hubiera sido explotado. BitGo enfatizó que todos sus productos son de código abierto y su equipo respalda sus procesos de seguridad de código abierto.