按 Enter 到主內容區
:::

TWCERT-電子報

:::

多個知名加密錢包內含多個 0-day 漏洞,可能導致加密資產遭竊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-08-15
  • 點閱次數:293
多個知名加密錢包內含多個 0-day 漏洞,可能導致加密資產遭竊 twcertcc

資安廠商 Fireblocks 旗下的加密演算法研究團隊,在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中,發現一批稱為「BitForge」的多個  0-day 資安漏洞;駭侵者可利用這批漏洞,無需與用戶與錢包發行商互動,即可竊走錢包中的加密貨幣資產。

受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商,包括多家知名交易所如 Coinbase、ZenGo、Binance 等。

這批 BitForge 0-day 漏洞群中,第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」(Threshold signature schemes);研究人員發現駭侵者可利用特製的訊息,在 16 位元的 Chunk 中取出金鑰分片;重覆操作 16 次後即可取得完整私鑰。

另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤,攻擊者只要重覆 200 次操作就可以取得完整的私鑰。

Fireblocks 在報告中指出,該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞,並在第一時間通報多家加密貨幣交易所,並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是,在報告公開的現在,Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞,但 Binance 和其他多家加密貨幣錢包供應商,仍未能及時修復這批問題。

建議加密貨幣交易者如有利用受影響的錢包,可透過 Fireblocks 提供的網頁,檢視受影響錢包是否已經提供更新版本,並立即加以更新。

回頁首