Dompet Cryptocurrency BitGo menambal kerentanan kritis yang dapat mengungkap kunci pribadi pengguna ritel dan institusional.
Kelompok Riset Kriptografi Fireblocks diidentifikasi kelemahan tersebut dan memberi tahu tim BitGo pada bulan Desember 2022. Kerentanan tersebut terkait dengan dompet BitGo Threshold Signature Scheme (TSS) dan memiliki potensi untuk mengekspos kunci privat bursa, bank, bisnis, dan pengguna platform.
Tim Fireblocks menyebut kerentanan BitGo Zero Proof Vulnerability, yang memungkinkan penyerang potensial mengekstrak kunci pribadi dalam waktu kurang dari satu menit menggunakan sejumlah kecil kode JavaScript. BitGo menangguhkan layanan yang rentan pada 10 Desember dan merilis tambalan pada Februari 2023 yang memerlukan pembaruan sisi klien ke versi terbaru paling lambat 17 Maret.
Tim Fireblocks menjelaskan bagaimana mereka mengidentifikasi eksploit menggunakan akun BitGo gratis di mainnet. Sepotong bukti nol-pengetahuan wajib yang hilang dalam protokol dompet ECDSA TSS BitGo memungkinkan tim untuk mengekspos kunci pribadi melalui serangan sederhana.
Terkait: Euler Finance meretas lebih dari $ 195 juta dalam peretasan pinjaman kilat
Platform sumber daya cryptocurrency tingkat perusahaan standar industri menggunakan multi-party-computing (MPC/TSS) atau teknologi multi-tanda tangan untuk menghilangkan kemungkinan satu titik serangan. Ini dilakukan dengan mendistribusikan kunci pribadi di antara banyak pihak, untuk memastikan kontrol keamanan jika salah satu pihak disusupi.
Fireblocks dapat mendemonstrasikan bahwa penyerang internal atau eksternal dapat memperoleh akses ke kunci pribadi yang lengkap melalui dua kemungkinan cara.
Pengguna sisi klien yang dikompromikan dapat memulai transaksi untuk memperoleh bagian dari kunci privat yang terdapat dalam sistem BitGo. BitGo kemudian akan melakukan penghitungan tanda tangan sebelum membagikan informasi yang membocorkan fragmen kunci BitGo.
“Penyerang sekarang dapat merekonstruksi kunci privat lengkap, memuatnya ke dalam dompet eksternal dan menarik dana segera atau pada tahap selanjutnya.”
Skenario kedua dianggap sebagai serangan jika BitGo disusupi. Penyerang akan menunggu pelanggan memulai transaksi, sebelum merespons dengan nilai berbahaya. Ini kemudian digunakan untuk menandatangani transaksi dengan fragmen kunci pelanggan. Penyerang dapat menggunakan respons untuk mengungkap fragmen kunci pengguna, sebelum menggabungkannya dengan fragmen kunci BitGo untuk mengambil kendali dompet.
Fireblocks mencatat bahwa tidak ada serangan yang dilakukan oleh vektor yang teridentifikasi, tetapi memperingatkan pengguna untuk mempertimbangkan membuat dompet baru dan memindahkan dana dari dompet ECDSA TSS BitGo sebelum patch
Peretasan dompet telah menjadi hal biasa dalam industri cryptocurrency selama beberapa tahun terakhir. Pada Agustus 2022, lebih dari $8 juta disedot dari lebih dari 7.000 dompet Slope berbasis Solana. Layanan dompet jaringan Algorand MyAlgo juga menjadi sasaran peretasan yang menghasilkan lebih dari $9 juta disedot dari berbagai dompet profil tinggi.