La billetera de criptomonedas BitGo ha reparado una vulnerabilidad crítica que podría haber expuesto las claves privadas de los usuarios minoristas e institucionales.
Equipo de investigación de criptografía Fireblocks identificado la falla y notificó al equipo de BitGo en diciembre de 2022. La vulnerabilidad estaba relacionada con las billeteras BitGo Threshold Signature Scheme (TSS) y tenía el potencial de exponer las claves privadas de los intercambios, bancos, empresas y usuarios de la plataforma.
El equipo de Fireblocks denominó a la vulnerabilidad BitGo Zero Proof Vulnerability, que permitiría a posibles atacantes extraer una clave privada en menos de un minuto utilizando una pequeña cantidad de código JavaScript. BitGo suspendió el servicio vulnerable el 10 de diciembre y lanzó un parche en febrero de 2023 que requería actualizaciones del lado del cliente a la última versión antes del 17 de marzo.
El equipo de Fireblocks describió cómo identificó el exploit utilizando una cuenta gratuita de BitGo en la red principal. Una parte faltante de las pruebas obligatorias de conocimiento cero en el protocolo de billetera ECDSA TSS de BitGo permitió al equipo exponer la clave privada a través de un simple ataque.
Relacionado: Euler Finance pirateado por más de $ 195 millones en un ataque de préstamo rápido
Las plataformas de activos de criptomonedas de grado empresarial estándar de la industria hacen uso de la computación de múltiples partes (MPC/TSS) o la tecnología de múltiples firmas para eliminar la posibilidad de un único punto de ataque. Esto se hace mediante la distribución de una clave privada entre varias partes, para garantizar los controles de seguridad si una de las partes se ve comprometida.
Fireblocks pudo demostrar que los atacantes internos o externos podían obtener acceso a una clave privada completa a través de dos posibles medios.
Un usuario del lado del cliente comprometido podría iniciar una transacción para adquirir una parte de la clave privada que se encuentra en el sistema de BitGo. BitGo luego realizaría el cálculo de firma antes de compartir información que filtra el fragmento de clave de BitGo.
“El atacante ahora puede reconstruir la clave privada completa, cargarla en una billetera externa y retirar los fondos de inmediato o en una etapa posterior”.
El segundo escenario consideraba un ataque si BitGo estaba comprometido. Un atacante esperaría a que un cliente inicie una transacción antes de responder con un valor malicioso. Esto luego se usa para firmar la transacción con el fragmento de clave del cliente. El atacante puede usar la respuesta para revelar el fragmento de clave del usuario, antes de combinarlo con el fragmento de clave de BitGo para tomar el control de la billetera.
Fireblocks señaló que el vector identificado no ha llevado a cabo ataques, pero advirtió a los usuarios que consideren crear nuevas billeteras y mover fondos de las billeteras ECDSA TSS BitGo antes del parche.
Los hackeos de billeteras han sido comunes en la industria de las criptomonedas en los últimos años. En agosto de 2022, se drenaron más de $8 millones de más de 7000 billeteras Slope con sede en Solana. El servicio de billetera de la red de Algorand, MyAlgo, también fue blanco de un hackeo de billetera en el que se extrajeron más de $9 millones de varias billeteras de alto perfil.
