ビットコイン
画像: 旅の途中

GG-18、GG-20、Lindell 17 などの広く使用されている暗号化プロトコルの実装における「BitForge」と名付けられた複数のゼロデイ脆弱性は、Coinbase、ZenGo、Binance などの人気のある暗号通貨ウォレット プロバイダーに影響を与えました。

これらの脆弱性により、攻撃者はユーザーやベンダーとのやり取りを必要とせずに、影響を受けるウォレットに保存されているデジタル資産を数秒で盗むことができる可能性があります。

この欠陥は 2023 年 5 月に Fireblocks 暗号化研究チームによって発見され、総称して「BitForge」と名付けられました。

本日、アナリストらは、BlackHatのプレゼンテーション「小規模漏洩、数十億ドル: 主要な暗号ウォレットを損なう実用的な暗号エクスプロイト」でBitForgeを公表し、それまでにCoinbaseとZenGoは問題に対処するための修正を適用している。

しかし、Fireblocksは、Binanceや他の数十のウォレットプロバイダーが依然としてBitForgeに対して脆弱であると述べており、Fireblocksは、プロジェクトが不適切なマルチパートコンピューティング(MPC)プロトコルの実装によってリスクにさらされているかどうかをチェックするためのステータスチェッカーを作成しています。

BitForgeの欠陥

Fireblock によって発見された最初の欠陥 (CVE-2023-33241) は、MPC ウォレット業界にとって先駆的であり基礎的であると考えられている GG18 および GG20 しきい値署名スキーム (TSS) に影響を及ぼし、複数の当事者がキーを生成してトランザクションに共同署名できるようになります。

Fireblock のアナリストは、実装パラメータによっては、攻撃者が特別に作成したメッセージを送信し、16 ビットのチャンクで鍵のシャードを抽出し、16 回繰り返してウォレットから秘密鍵全体を取得することが可能であることを発見しました。

この欠陥は、攻撃者のペリエ係数 (N) と、小さな因子またはバイ素数の存在に基づく暗号化のステータスのチェックが不足していることが原因で発生します。

Fireblockのレポートには、「この脆弱性が悪用されると、TSSプロトコルの署名者と対話する攻撃者が秘密のシャードを盗み、最終的にはマスター秘密鍵を取得することが可能になる」と書かれている。

「脆弱性の重大度は実装パラメータに依存するため、パラメータの選択が異なると、完全なキーを抽出するために必要な労力やリソースの程度が異なるさまざまな攻撃が発生します。」

Lindell17 2PC プロトコルで発見された脆弱性 (CVE-2023-33242) も同様の性質のもので、攻撃者は約 200 回の署名試行後に秘密キー全体を抽出できます。

この欠陥は、プロトコル自体ではなく 2PC プロトコルの実装にあり、ウォレットによるアボートの誤った処理を通じて現れます。これにより、ウォレットは署名操作を継続することになり、秘密鍵のビットが誤って公開されてしまいます。

「この攻撃は、操作を中止するか「不可能な選択」を与えられた場合に、2PC プロトコルを使用したウォレットによる中止の誤処理を利用します。資金がウォレットにロックされている可能性があることを考えると、これは不合理なアプローチです。あるいは、ウォレットの追加ビットの署名と犠牲を継続する可能性があります。すべての署名が入ったキー。」 – ファイアブロック

この欠陥を悪用する攻撃は「非対称」であり、クライアントまたはサーバーを破壊することによって悪用される可能性があることを意味します。

最初のシナリオでは、攻撃者はクライアントを破壊して、クライアントに代わってサーバーにコマンドを送信させます。これにより、サーバーの秘密キーの一部が明らかになります。

Fireblockによれば、サーバーの秘密共有全体を再構築するのに十分なデータを収集するには、そのような試行を256回行う必要があるという。

ただし、制限が設けられていないため、攻撃者はすぐに続く多数のリクエストでサーバーを攻撃することができ、攻撃は短時間で実行される可能性があります。

2 番目のシナリオは、クライアントの秘密キーをターゲットにし、侵害されたサーバーを使用して、特別に作成されたメッセージを通じて秘密キーを取得します。ここでも、キーを完全に抽出するには 256 のリクエストが必要です。

アナリストはまた、各プロトコルの 2 つの概念実証 (PoC) エクスプロイトを GitHub で公開しました。

Coinbaseは、欠陥が明らかになった後、サービスとしてのウォレット(WaaS)ソリューションの欠陥を修正したと発表し、研究者らの責任ある開示に感謝した。

「この問題を特定し、責任を持って開示してくれた Fireblocks に感謝したいと思います。Coinbase の顧客と資金が危険にさらされることはありませんでしたが、完全にトラストレスな暗号モデルを維持することは、あらゆる MPC 実装の重要な側面です」と、最高情報セキュリティ責任者の Jeff Lunglhofer 氏は述べています。コインベース。 「安全性に関して業界の高い基準を設定することは、エコシステムを保護し、この技術をより広範に採用するために不可欠です。」