Fireblocks 警告称，主要加密钱包容易被提取密钥

　　加密基础设施巨头 Fireblocks 公开披露了十多家主要数字资产钱包提供商使用的技术中的安全漏洞。

　　该公司警告称，如果不加以解决，攻击者可能会利用这些漏洞窃取数百万客户的信息。

　　Bitforge 漏洞

　　这组漏洞统称为“Bitforge”，适用于流行的多方计算 (MPC) 协议，包括 GG-18、GG-20 和 Lindell17。 这些协议允许加密货币由多个个人和团体控制和管理。

　　Fireblocks 在周三的一份声明中写道：“如果不及时补救，BitForge 漏洞将使攻击者能够利用 GG18 和 GG20 协议中新发现的缺陷，通过丢失零知识证明来泄露完整的私钥。”

　　该公司表示，所有使用这些协议的供应商“都应该被视为易受攻击”。

　　它写道，Lindell17 漏洞是由于钱包提供商偏离了学术论文，“为攻击者创建了一个后门，以便在签名失败时暴露部分私钥。” 这些漏洞已经在主要开源实现上得到了验证。

　　Coinbase和Binance受到影响，但资金是安全的

　　在随附的新闻稿中，Fireblocks 指出 Coinbase WaaS、Zengo 和 Binance 等热门提供商已受到这些漏洞的影响。

　　不过，Fireblocks表示，在事前得到该公司私下通知后，前三家公司已经修复了该问题，相关学术论文也已得到适当修改。

　　Coinbase 首席信息安全官 Jeff Lunglhofer 在谈到该补丁时表示：“虽然 Coinbase 的客户和资金从未面临风险，但维护完全无需信任的加密模型是任何 MPC 实施的一个重要方面。”

　　币安首席执行官赵长鹏周四也澄清，该交易所已修复该漏洞，并且没有用户资金受到影响。

　　Binance 开源的 TSS 库中存在此问题，现已修复。 感谢 Fireblocks 发现了它！

　　没有 @Binance 用户资金受到影响。

　　即使是 MPC 托管解决方案也存在风险。 停留 #SAFU！ ????

　　-CZ????Binance（@cz_binance） 10年2023月XNUMX日

　　Fireblocks 首席技术官 Pavel Berengoltz 在一份声明中写道：

　　“虽然我们很高兴看到 MPC 现在在数字资产行业中无处不在，但从我们的调查结果以及随后的披露流程中可以明显看出，并非所有 MPC 开发人员和团队都是平等的。”

　　CTO 指出，500 年上半年，钱包盗窃和攻击导致超过 2023 亿美元的资金被盗。