Güncelleme (22 Mart): Bu haber BitGo tarafından vurgulanan gerçeklere dayalı düzeltmeleri içerecek şekilde güncellenmiştir.
Kripto para cüzdanı BitGo, bireysel ve kurumsal kullanıcıların özel anahtarlarını açığa çıkarabilecek kritik bir güvenlik açığını yamaladı.
BitGo, güvenlik açığını yamaladı
Sistem açığını tespit eden şifreleme araştırma ekibi Fireblocks, Aralık 2022'de BitGo ekibine bildirdi. Söz konusu güvenlik açığı BitGo Threshold Signature Scheme (TSS) cüzdanlarıyla ilgiliydi ve borsa, banka, işletme ve platform kullanıcılarının özel anahtarlarını açığa çıkarma potansiyeline sahipti.
ETH TSS sıcak cüzdanlarının piyasaya sürülmesi 31 Ekim 2022'de duyuruldu ve kullanıcılar için daha düşük gaz ücretleri sağlamak üzere tanıtıldı. Github'da 9 Aralık 2022 tarihinde yayınlanan BitGo geliştirici notlarında, hizmetin anahtar paylaşımlarının ve imza paylaşımlarının üçüncü taraflarca doğrulanması için tam desteğe sahip olmadığı belirtilmişti.
Blokzinciri altyapı şirketi Fireblocks, Aralık 2022'de güvenlik açığını tespit ettiğini ve BitGo'ya bildirdiğini iddia etti. Bir basın açıklamasında, güvenlik açığının borsaların, bankaların, işletmelerin ve platform kullanıcılarının özel anahtarlarını açığa çıkarma potansiyeline sahip olduğu iddia edildi.
BitGo o zamandan beri bu iddiaları bir blog yazısında yalanladı ve kendi geliştirme ekibinin GitHub belgelerine göre üçüncü taraf doğrulama eksikliğinin yapılacaklar listesinde olduğunu belirttiğini vurguladı. Cüzdan hizmeti sağlayıcısı ayrıca, kullanıcı fonlarının veya özel anahtarların hiçbir zaman güvenlik açığı yoluyla tehlikeye atılma veya ifşa edilme riski altında olmadığını savunuyor.
Cointelegraph, BitGo müşterilerinin kripto para varlıklarını saklamak için söz konusu MPC cüzdan türünü aktif olarak kullanmadığını anladı. BitGo çalışanları ve katkıda bulunanlar da dahil olmak üzere 20 geliştirici şu anda erken erişimde cüzdana erişebilirken, BitGo'nun çekirdek cüzdan kodunun açık kaynak niteliği Fireblock mühendislerinin de test yapmasına izin verdi.
Geçtiğimiz yıl anahtar ve imza paylaşımlarının üçüncü taraflarca doğrulanmadığını ifşa eden BitGo'nun blog yazısı, Fireblock'u bilinen bir açığı bir tanıtım gösterisine dönüştürmeye çalışan bir rakip olarak damgaladı.
Fireblocks ekibi, potansiyel siber saldırganların sadece küçük bir JavaScript kodu kullanarak bir dakikadan kısa bir süre içinde özel bir anahtarı elde etmelerine olanak tanıyan güvenlik açığını BitGo Zero Proof Vulnerability olarak adlandırdı. BitGo, 10 Aralık'ta güvenlik açığı bulunan hizmeti askıya aldı ve Şubat 2023'te, 17 Mart'a kadar en son sürüme yönelik istemci tarafı güncellemelerini gerektiren bir yama yayınladı.
Fireblocks ekibi, mainnet üzerinde ücretsiz bir BitGo hesabı kullanarak istismarı nasıl tespit ettiğini özetledi. BitGo'nun ECDSA TSS cüzdan protokolündeki zorunlu sıfır bilgi kanıtlarının eksik bir kısmı, ekibin basit bir saldırı yoluyla özel anahtarı açığa çıkarmasına izin verdi.
İlginizi çekebilir: Eurler Finance'te 196 milyon dolarlık vurgun!
Öte yandan endüstri standardı kurumsal sınıf kripto para varlık platformları, tek bir saldırı noktası olasılığını ortadan kaldırmak için çoklu taraf hesaplama (MPC/TSS) ya da çoklu imza teknolojisini kullanıyor. Bu da bir tarafın tehlikeye girmesi durumunda güvenlik kontrollerini sağlamak için özel bir anahtarın birden fazla taraf arasında dağıtılmasıyla gerçekleştiriliyor.
Fireblocks, belirlenen bir vektör tarafından herhangi bir saldırı gerçekleştirilmediğini ifade etti. Ancak yine de kullanıcıları yamadan önce yeni cüzdanlar oluşturmayı ve ECDSA TSS BitGo cüzdanlarından para taşımayı düşünmeleri konusunda uyardı.
Ne var ki cüzdanların hack'lenmesi, son yıllarda kripto para endüstrisinde sıradan bir olay haline geldi. Ağustos 2022'de, 7000'den fazla Solana tabanlı Slope cüzdanından 8 milyon doların üzerinde para çekildi. Algorand ağ cüzdan hizmeti MyAlgo ise çeşitli yüksek profilli cüzdanlardan 9 milyon doların üzerinde para çekilmesini sağlayan bir cüzdan saldırısının hedefi oldu.