Selon la société d’infrastructure d’actifs numériques Fireblocks, plus de 15 fournisseurs et projets de portefeuilles cryptographiques largement utilisés présentent des vulnérabilités béantes qui pourraient potentiellement entraîner l’épuisement de millions de portefeuilles cryptographiques.
Dans une presse du 9 août libérerFireblocks a déclaré que la série de vulnérabilités, baptisée BitForge, affecte les portefeuilles utilisant la technologie de calcul multipartite (MPC), qui permet à plusieurs parties de contrôler et de gérer les avoirs en crypto-monnaie.
1/ L’équipe de recherche Fireblocks a découvert BitForge, un ensemble de vulnérabilités dans certains des protocoles MPC les plus largement adoptés, qui permettent à un attaquant de récupérer une clé privée à partir d’un seul appareil. Lire la suite → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) 9 août 2023
Les problèmes identifiés ont été divulgués en tant que vulnérabilités « zero day », ce qui signifie que les failles n’avaient pas été identifiées auparavant par les projets.
« Si elles ne sont pas corrigées, les expositions permettraient aux attaquants et aux initiés malveillants de puiser des fonds dans les portefeuilles de millions de clients de détail et institutionnels en quelques secondes, sans que l’utilisateur ou le fournisseur ne le sache. »
La société a révélé que les vulnérabilités de BitForge affectaient bon nombre des principaux fournisseurs de portefeuilles, notamment Coinbase, Zengo et Binance. Après une « période de divulgation de 90 jours » standard de l’industrie de Fireblocks, les trois entreprises ont depuis résolu les problèmes identifiés.
Dans un communiqué, le responsable de la sécurité de l’information de Coinbase, Jeff Lunglhofer, a remercié Fireblocks d’avoir identifié et divulgué le problème de manière responsable, ajoutant que les clients et les fonds de Coinbase n’étaient jamais en danger. Zengo CTO Tal Be’ery a noté que le problème a été rapidement résolu et qu’aucun fonds d’utilisateur n’a été affecté.
3/ Nous tenons à exprimer notre gratitude aux chercheurs de Fireblocks pour avoir identifié ce problème, procédé à une divulgation éthique et contribué à améliorer la sécurité de l’écosystème.
— CoinbaseCloud ️ (@CoinbaseCloud) 9 août 2023
Fireblocks a déclaré avoir travaillé pour identifier d’autres entreprises susceptibles d’être impliquées dans des problèmes de sécurité similaires et les avoir contactées.
Les portefeuilles MPC chiffrent la clé privée d’un utilisateur et la partagent entre plusieurs parties, généralement composées du propriétaire du portefeuille, d’un fournisseur de portefeuille et d’un autre tiers. Théoriquement, aucune de ces entités ne devrait être en mesure de déverrouiller le portefeuille sans d’abord communiquer avec les autres.
En rapport: La Bourse de Tel Aviv proposera des services de cryptographie via le pacte Fireblocks
Cependant, selon les données techniques de Fireblocks rapports sur les vulnérabilités BitForge, les vulnérabilités auraient permis aux pirates « d’extraire la clé privée complète s’ils étaient capables de compromettre un seul appareil ».
« Bien que nous soyons encouragés de voir que MPC est désormais omniprésent dans l’industrie des actifs numériques, il ressort clairement de nos conclusions – et de notre processus de divulgation ultérieur – que tous les développeurs et équipes MPC ne sont pas créés égaux », a déclaré Fireblocks CTO et co-fondateur. Pavel Berengoltz.
« Les entreprises qui exploitent la technologie Web3 doivent travailler en étroite collaboration avec des experts en sécurité disposant du savoir-faire et des ressources nécessaires pour garder une longueur d’avance et atténuer les vulnérabilités », a-t-il ajouté.
Risque de dépôt : que font réellement les échanges cryptographiques avec votre argent ?