Shayan Rashidi

برطرف شدن آسیب پذیری BitForge توسط بایننس: وجوه امن هستند

16:00

10/08/2023

چانگپنگ ژائو مدیر عامل بایننس، برای رسیدگی به نگرانی‌های مربوط به آسیب‌پذیری BitForge پیشقدم شده است. همانطور که توسط تیم تحقیقاتی Fireblocks عنوان شد، این مشکل امنیتی در برخی از رایج‌ترین پروتکل‌های محاسباتی چند جانبه (MPC) از جمله GG-18، GG-20 و Lindell17 شناسایی شده است.

چانگپنگ ژائو، در بیانیه‌ای اطمینان بخش در توییتر اعلام کرد: این مشکل در کتابخانه متن باز TSS بایننس وجود داشت و اکنون رفع شده است. با تشکر از Fireblocks برای کشف آن! وجوه کاربران بایننس تحت تأثیر قرار نگرفت. حتی راهکارهای نگهداری MPC نیز خطراتی دارد.

بررسی عمیق‌تر یافته‌ها در مورد BitForge

تحقیقات Fireblocks نشان داد که BitForge مجموعه‌ای از آسیب‌پذیری‌های روز صفر است که به طور بالقوه به مهاجمان اجازه می‌دهد بدون اطلاع کاربر یا فروشنده، وجوه را از کیف پول‌ها تخلیه کنند. این اتفاق اغلب در چند ثانیه رخ می‌دهد.

آسیب‌پذیری‌های پروتکل‌های GG18 و GG20 بسیار نگران‌کننده بودند. این پروتکل‌ها که به‌طور گسترده توسط ارائه‌دهندگان کیف پول MPC پذیرفته شده‌اند، به دلیل عدم وجود مدرک دانش صفر دارای نقص هستند که می‌تواند منجر به حذف کامل کلید خصوصی شود.

پروتکل‌های GG-18 و GG-20 قبلاً در سال 2020 به‌روزرسانی شده بودند تا یک آسیب‌پذیری شناخته شده را اصلاح کنند. با این حال، این تغییرات به طور ناخواسته آسیب‌پذیری دیگری را ایجاد کرد. شدت این نقص بسته به اجرای خاص پروتکل‌های GG توسط ارائه دهندگان کیف پول متفاوت است. در برخی موارد، مهاجمان می‌توانند کلیدها را با حداقل 16 امضا استخراج کنند، در حالی که در موارد دیگر، ممکن است به 1 میلیارد امضا نیاز باشد.

از سوی دیگر، آسیب‌پذیری پروتکل Lindell17، نتیجه انحراف از مشخصات مقاله آکادمیک اصلی است. این انحراف می‌تواند منجر به ایجاد سوء استفاده از امضاهای ناموفق شود و یک راه بالقوه برای مهاجمان ایجاد کند. یک مهاجم می‌تواند از طرفی که فرآیند امضا را نهایی می‌کند، خواه ارائه‌دهنده کیف پول یا کاربر، پس از تقریباً 200 درخواست امضا سوء استفاده کرده و کلید خصوصی را استخراج کند.

این مطلب را حتما بخوانید: حمله موسس یک شرکت سرمایه گذاری برای خرید الگوراند!

پاسخ بایننس و واکنش جامعه کریپتو

کشف Fireblocks نه تنها آسیب‌پذیری‌های بالقوه را برجسته نموده، بلکه بر اهمیت بررسی‌های امنیتی دقیق و نیاز به تحقیقات مستمر در فضای کریپتو تأکید کرده است. تصدیق سریع بایننس و اصلاح این مشکل در کتابخانه متن باز TSS خود نمونه‌ای از موضع پویای صنعت در قبال تهدیدات بالقوه است.

شفافیت و سرعت نشان داده شده توسط بایننس و سایر ارائه دهندگان کیف پول متاثر شده مورد ستایش جامعه کریپتو قرار گرفته است. با این حال، همانطور که ژائو به درستی تأکید کرد، حتی قابل اعتمادترین راه حل‌ها نیز می توانند آسیب پذیر باشند.

در زمان انتشار این مطلب، بایننس کوین (BNB) با قیمت 241.9 دلار معامله می‌شود. این ارز دیجیتال پس از تجربه کف سالانه 220 دلاری در 12 ژوئن، یک روند صعودی خفیف داشته است.