Fireblocks divulga vulnerabilidade que afeta diversas carteiras de criptomoedas

A Fireblocks disse que as vulnerabilidades que afetam a Coinbase, a Binance e a Zengo já foram corrigidas e que entrou em contato com mais de 12 outras empresas cuja segurança dos fundos dos usuários está em risco.

Mais de 15 projetos e provedores de carteiras de criptomoedas amplamente utilizados apresentam vulnerabilidades que podem levar à drenagem de milhões de carteiras de criptomoedas, de acordo com a empresa de infraestrutura de ativos digitais Fireblocks.

Em um comunicado de imprensa divulgado em 9 de agosto, a Fireblocks disse que a série de vulnerabilidades, apelidada de BitForge, está afetando as carteiras que usam a tecnologia de computação multipartidária (MPC), que permite que várias partes controlem e gerenciem seus fundos.

1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) August 9, 2023

1/ A equipe de pesquisa da Fireblocks descobriu o BitForge, um conjunto de vulnerabilidades em alguns dos protocolos MPC mais amplamente adotados no mercado, que permite que um invasor recupere as chaves privadas a partir de um único dispositivo. Leia mais

— Fireblocks (@FireblocksHQ) 

Os problemas identificados seriam um tipo de vulnerabilidades classificada como de “dia zero”, o que significa que as falhas não haviam sido identificadas anteriormente pelos projetos.

“Se não forem corrigidas, as vulnerabilidades permitirão que invasores e atores mal-intencionadas drenem fundos de carteiras de milhões de clientes institucionais e de varejo em segundos, sem que o usuário ou o fornecedor tenha conhecimento.”

A empresa divulgou que as vulnerabilidades afetaram muitos dos principais aplicativos de carteiras, incluindo a Coinbase, a Zengo e a Binance. Após um “período de divulgação de 90 dias” padrão, as três empresas já teriam resolvido os problemas identificados.

Em um comunicado, o diretor de segurança da informação da Coinbase, Jeff Lunglhofer, agradeceu à Fireblocks por identificar e divulgar o problema de forma responsável, acrescentando que os clientes da Coinbase e seus fundos nunca estiveram em risco. O diretor de tecnologia da Zengo, Tal Be’ery, observou que o problema foi prontamente corrigido e que nenhum usuário foi afetado.

3/ We want to extend our gratitude to the researchers at Fireblocks for identifying this issue, conducting an ethical disclosure, and helping to improve the security of the ecosystem.

— Coinbase Cloud ️ (@CoinbaseCloud) August 9, 2023

3/ Gostaríamos de oferecer nossa gratidão aos pesquisadores da Fireblocks por identificarem esse problema, conduzirem uma divulgação ética, contribubindo para melhorar a segurança do ecossistema.

— Coinbase Cloud ️ (@CoinbaseCloud)

A Fireblocks informou que está trabalhando para identificar outros produtos que possam ser alvo de problemas de segurança semelhantes e que entrou em contato com outros provedores de carteiras.

This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!

No @Binance user funds affected.

Even MPC custody solutions have risks. Stay #SAFU! https://t.co/UneRs7VOj7

— CZ Binance (@cz_binance) August 10, 2023

Esse problema estava presente na biblioteca TSS de código aberto da Binance, e foi corrigido. Agradecemos à Fireblocks por ter descoberto o problema!

Nenhum fundo de usuários da @Binance foi afetado.

Mesmo as soluções de custódia MPC têm riscos. Fique #SAFU!

— CZ Binance (@cz_binance)

O CEO da Binance, Changpeng Zhao, também agradeceu à Fireblocks por ter descoberto a vulnerabilidade, já que a exchange de criptomoedas conseguiu corrigir os problemas antes que qualquer dano pudesse afetar os seus clientes.

As carteiras MPC criptografam a chave privada de um usuário e a compartilham com várias partes – normalmente o proprietário da carteira, um provedor de carteira e um outro terceiro. Teoricamente, nenhuma dessas entidades deve ser capaz de desbloquear a carteira sem antes se comunicar com as outras.

No entanto, de acordo com o relatório técnico da Fireblocks sobre o BitForge, as vulnerabilidades teriam permitido que os hackers seriam capazes de “extrair a chave privada completa se conseguissem comprometer apenas um dispositivo.”

“Embora estejamos entusiasmados em ver que o sistema MPC é onipresente no setor de ativos digitais agora, é evidente a partir de nossas descobertas – e de nosso processo de divulgação subsequente – que nem todos os produtos de MPC são criados iguais”, disse o diretor de tecnologia e cofundador da Fireblocks, Pavel Berengoltz.

“As empresas que utilizam a tecnologia Web3 devem trabalhar em estreita colaboração com especialistas em segurança que tenham o conhecimento e os recursos necessários para se antecipar às vulnerabilidades e minimizá-las”, acrescentou.

LEIA MAIS

• Preço do Bitcoin segura US$ 17.000 no aguardo do discurso de Powell enquanto GBTC salta para máximas de vários meses
• MetaMask atinge 1 milhão de usuários por mês graças ao boom DeFi
• Binance investe em plataforma descentralizada de streaming de músicas