El equipo de investigación de criptografía del proveedor de infraestructura de blockchain Fireblocks ha publicado hoy detalles de una vulnerabilidad en las carteras Ethereum de BitGo que utilizan el Threshold Signature Scheme (TSS) de la empresa. Según Fireblocks, la vulnerabilidad podría haber permitido a un atacante extraer una clave privada completa con una sola firma y unos pocos segundos de cómputo, sin pasar por todas las funciones de seguridad de BitGo.
BitGo suspendió el servicio el 10 de diciembre y lanzó una actualización de parche en febrero mientras exigía a sus clientes actualizar a la última versión antes del 17 de marzo. BitGo también acusó a Fireblocks de «convertir una brecha conocida en un truco publicitario», y agregó que «no es así como se supone que funcionan las divulgaciones coordinadas».
La vulnerabilidad, denominada BitGo Zero Evidence Vulnerability, provino de una implementación faltante de Pruebas de conocimiento cero obligatorias en el protocolo de billetera BitGo TSS, que utiliza el Algoritmo de firma electronic de curva elíptica (ECDSA). La explotación de la vulnerabilidad en el SDK permite a un atacante robar la clave privada compartida utilizada por el cliente, independientemente de sus métodos de almacenamiento de claves y medidas de seguridad.
BitGo ha acusado a Fireblocks de «una letanía de reclamos falsos» y ha afirmado que está buscando todos los recursos legales, incluidos los daños y los costes judiciales, entre otros. Las billeteras generadas después del parche deberían ser seguras, pero las claves de cualquier billetera BitGo Ethereum TSS generada antes de la actualización deben considerarse potencialmente expuestas, según Fireblocks. Por lo tanto, cualquier fondo en esas billeteras debe considerarse en riesgo y trasladarse inmediatamente a una billetera segura.
Resumen de Noticias Blockchain – Fireblocks revela una vulnerabilidad crítica en las carteras BitGo Ethereum
Fireblocks publicó detalles de una vulnerabilidad en BitGo’s Ethereum carteras que utilizan la Threshold Signature Plan de la empresa. La vulnerabilidad permitía a un atacante extraer una clave privada completa en segundos sin pasar por todas las funciones de seguridad de BitGo. BitGo suspendió el servicio el 10 de diciembre y lanzó una actualización de parche en febrero. BitGo acusó a Fireblocks de convertir una brecha conocida en un truco publicitario y afirmó que la billetera en cuestión era un producto de prelanzamiento. Los clientes deben mover cualquier fondo en esas billeteras a una billetera segura.
