• 發布單位:TWCERT/CC
• 更新日期:2023-08-15
• 點閱次數:233

資安廠商 Fireblocks 旗下的加密演算法研究團隊，在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中，發現一批稱為「BitForge」的多個  0-day 資安漏洞；駭侵者可利用這批漏洞，無需與用戶與錢包發行商互動，即可竊走錢包中的加密貨幣資產。

受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商，包括多家知名交易所如 Coinbase、ZenGo、Binance 等。

這批 BitForge 0-day 漏洞群中，第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」（Threshold signature schemes）；研究人員發現駭侵者可利用特製的訊息，在 16 位元的 Chunk 中取出金鑰分片；重覆操作 16 次後即可取得完整私鑰。

另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤，攻擊者只要重覆 200 次操作就可以取得完整的私鑰。

Fireblocks 在報告中指出，該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞，並在第一時間通報多家加密貨幣交易所，並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是，在報告公開的現在，Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞，但 Binance 和其他多家加密貨幣錢包供應商，仍未能及時修復這批問題。

建議加密貨幣交易者如有利用受影響的錢包，可透過 Fireblocks 提供的網頁，檢視受影響錢包是否已經提供更新版本，並立即加以更新。