close

_12_2023.08.11_多個知名加密錢包內含多個_0-day_漏洞,可能導致加密資產遭竊

資安廠商 Fireblocks 旗下的加密演算法研究團隊,在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中,發現一批稱為「BitForge」的多個  0-day 資安漏洞;駭侵者可利用這批漏洞,無需與用戶與錢包發行商互動,即可竊走錢包中的加密貨幣資產。

受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商,包括多家知名交易所如 Coinbase、ZenGo、Binance 等。

這批 BitForge 0-day 漏洞群中,第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」(Threshold signature schemes);研究人員發現駭侵者可利用特製的訊息,在 16 位元的 Chunk 中取出金鑰分片;重覆操作 16 次後即可取得完整私鑰。

另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤,攻擊者只要重覆 200 次操作就可以取得完整的私鑰。

Fireblocks 在報告中指出,該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞,並在第一時間通報多家加密貨幣交易所,並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是,在報告公開的現在,Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞,但 Binance 和其他多家加密貨幣錢包供應商,仍未能及時修復這批問題。

建議加密貨幣交易者如有利用受影響的錢包,可透過 Fireblocks 提供的網頁,檢視受影響錢包是否已經提供更新版本,並立即加以更新。

  • 參考連結

Welcome to the BitForge Status Checker

https://www.fireblocks.com/BitForge

New BitForge cryptocurrency wallet flaws lets hackers steal crypto

https://www.bleepingcomputer.com/news/cryptocurrency/new-bitforge-cryptocurrency-wallet-flaws-lets-hackers-steal-crypto/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 加密貨幣 錢包 加密協定 BitForge 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄