Súlyos hibát fedeztek fel a többaláírásos tárcáknál
A biztonságos többpárti számítások (MPC vagy SMPC) egy olyan protokoll, amely, ahogy a neve is mutatja, megosztja a számítási feladatokat a felek között, úgy, hogy egyik fél sem nézheti meg a többiek adatát. Ez pedig elég sokféle felhasználást tesz lehetővé. Most azonban új kockázatot, sebezhetőséget fedeztek fel az ezt a protokollt használó tárcákban, legalábbis a Verichains jelentése szerint.
Az MPC biztonsági rése sok milliárd dollárba kerülhet a szektornak
A blokklánc biztonsági megoldásokkal foglalkozó cég az úgynevezett Aláírási Küszöbrendszerben (TSS) fedezte fel a sebezhetőséget. Ez a funkció teszi lehetővé azt, hogy felek egy csoportja úgy adjon ki aláírást egy tranzakcióra, hogy megismernék egymás titkos aláírási kulcsát. Az ilyen jellegű többpárti aláírásos tárcák használatával a felhasználók nincsenek kiszolgáltatva egy központi entitásnak ahhoz, hogy jóváhagyjanak egy tranzakciót. Ez a hiba pedig azért aggasztó, mert az MPC-t nagyon sok többpárti aláírásos tárcában használják. Így használja a Binance, Coinbase, az ING, a Revolut, a BNY Mellon és még sokan mások. Így egy ilyen sebezhetőség kihasználása komoly veszélyt jelenthet a teljes digitális eszközös ökoszisztémára.
A Verichains még tavaly októberben kezdte el vizsgálni a TSS-t használó aláírási protokollokat. Azt találták, hogy szinte az összes implementált TSS megoldásban biztonsági rések vannak. Azaz lefordítva, egy rosszindulatú támadó meg tudja szerezni a felhasználók egyedi kulcsait is, annak ellenére, hogy az MPC-nek pont az lenne a célja, hogy ez titokban maradjon a felhasználóknál. Ráadásul a jelentés szerint a kulcs eltulajdonítására nem is derül fény és senki nem fogja észrevenni. A becslések szerint egy ilyen hiba kihasználásával akár a különböző platformokon lockolt 8 milliárd amerikai dollár is veszélybe kerülhet. A Verichains dokumentum szerint elég sok érintett céget értesítettek, de nem nevesítették, hogy melyeket. Egyben felhívták az összes veszélyeztetett céget, hogy tegyenek meg mindent a felhasználók vagyonának védelme érdekében.