Ang Crypto Wallet na BitGo ay Inaayos ang Malubhang Kapintasan Na Maaaring Ilantad sa Mga User ang Pribadong Key

• Ang BitGo Zero Proof Vulnerability ang tinawag ng Fireblocks team na flaw.
• Idinetalye ng koponan ng Fireblocks ang pagtuklas nito sa kapintasan gamit ang isang libreng BitGo mainnet account.

Ang BitGo, isang sikat na cryptocurrency wallet, ay nag-ayos ng isang seryosong depekto na maaaring naglantad sa mga pribadong key ng retail at institutional na gumagamit nito.

Noong Disyembre 2022, natuklasan ng Fireblocks cryptography research team ang kahinaan at ipinaalam ito sa BitGo. Ang mga wallet ng BitGo Threshold Signature Scheme (TSS) ay madaling kapitan ng depekto, na maaaring makompromiso ang mga pribadong key ng mga user, exchange, bangko, at negosyo ng platform.

Mag-upgrade sa Kamakailang Bersyon

Ang BitGo Zero Proof Vulnerability ay ang tinawag ng Fireblocks team na ang kapintasan na maaaring magbigay-daan sa isang attacker na nakawin ang pribadong key ng user sa loob ng isang minuto gamit lamang ang ilang linya ng JavaScript code. Matapos matuklasan ang kakulangan sa seguridad noong Disyembre 10, agad na hindi pinagana ng BitGo ang serbisyo at naglabas ng patch noong Pebrero 2023, na nag-uutos na mag-upgrade ang lahat ng kliyente sa pinakabagong bersyon bago ang Marso 17.

Idinetalye ng koponan ng Fireblocks ang pagtuklas nito sa kapintasan gamit ang isang libreng BitGo mainnet account. Ang BitGo ECDSA TSS wallet protocol ay may depekto na naging dahilan upang maging mahina ito sa isang maliit na pag-atake dahil kulang ito ng kinakailangang zero-knowledge proof.

Ipinakita ng mga fireblock na mayroong dalawang paraan kung saan ang isang umaatake, panloob man o panlabas, ay makakakuha ng kumpletong pribadong key.

Ang sinumang may access sa panig ng kliyente ay maaaring magsimula ng isang transaksyon upang magnakaw ng isang piraso ng pribadong key na nakaimbak sa system ng BitGo. Kasunod ng pag-compute ng pagpirma, ilalabas ng BitGo ang key shard ng BitGo sa pamamagitan ng pagsisiwalat ng sensitibong impormasyon.

Gayunpaman, pinayuhan ng Fireblocks ang mga user na isaalang-alang ang pagbubukas ng mga bagong wallet at paglilipat ng mga pondo mula sa mga wallet ng ECDSA BitGo bago ilabas ang pag-aayos, kahit na walang mga pag-atake na natupad gamit ang iniulat na kahinaan.