好玩一起玩网 好玩一起玩网 - 做专业的游戏品牌门户,提供优质的游戏资讯攻略!
所有游戏
暗黑大天使
《暗黑大天使》是一款以西方魔幻故事为题材的RPG网络游戏。还原当年奇迹MU游戏场景,让玩家真正的体验回到当年跟兄弟一起浴血奋战,纵横大陆的畅快感。
热血战歌
《热血战歌》是一款以东方魔幻为题材的2D角色扮演类网页游戏。游戏中作为身怀绝技的传奇英雄,在被妖兽和邪龙侵袭的幻想大陆上粉碎黑暗势力阴谋的故事。
猛将天下
《猛将天下》是一款经典魔幻仙侠ARPG网页游戏,作为一款经典与创新结合的仙侠大作,游戏一经发布即受到了不少核心玩家的一致追捧。游戏将前所未有的创新仙器玩法与玩家的培养以及收集结合在一起,华丽的技能和顺畅的操作手感带来极致的战斗体验。烈火重燃兄弟情,剑圣再战乾坤定!
龙权天下
《龙权天下》是一款flash3D制作大型多人ARPG网页游戏,玩家扮演的主角作为星际舰队的宇航员,驾驶飞船穿越虫洞时遇到时空乱流,穿越到平行宇宙的三国世界游戏中,一路唤醒祖龙,招募英魂,集齐五大圣兽,最终打败张角,一统九州,平定三界后以世界原力催动飞船,成功返回自己的平行宇宙
传奇霸业
《传奇霸业》是由37游戏旗下极光工作室自主研发,并获得盛大正版授权的传奇题材ARPG网页游戏。游戏秉承传奇经典设置,力求带给玩家原汁原味的传奇体验。
灭神
《灭神》是一款以东方魔幻为题材的2D角色扮演类网页游戏。游戏中玩家作为身怀不同战斗技巧的传奇英雄,在被妖兽和邪恶巨龙侵袭的幻想大陆中,不断粉碎邪恶势力的阴谋和破坏为主线故事
斩月屠龙
复古经典热血手游《斩月屠龙》重磅来袭! 网吧老板强烈推荐,专属老玩家,倾情打造神魔系统,战法道专属全屏技能,100%复刻经典玩法,勇闯秘境,怒刷神装,行会兄弟集结,一起攻沙! 每个人都有自己的传奇,有自己的故事! 热血未冷,再战江湖!《斩月屠龙》唤醒属于你曾经的记忆!
我的帝国
《我的帝国》游戏以三国争霸为背景,召唤武将,排兵布阵,攻城掠池,一统十三州。你可以与三国名将一较高下;可以同服PK,向全服人展现你的战斗力;还可以挑战高难度副本,获取珍贵道具。烽火起,名将出,帝国立!
大天使之剑
《大天使之剑》,获十年经典网游《奇迹MU》正版授权。由同名精品页游原班人马全力打造,继承了页游的原生数值和玩法体系,将游戏精髓无缝衔接到手机端。让玩家于指尖体验到畅爽的战斗,亲临恢弘磅礴的史诗级魔幻世界! 开发者:霍尔果斯新锐网络科技有限公司
雷霆霸业
全新复古单职业手游《雷霆霸业》强势来袭!单职业战士拥有战法道全职业技能,还有全新护卫刀刀麻痹助您轻松打BOSS!复刻经典玩法,全新装备系统,超多稀有BOSS,还有元宝免费爆!赶紧喊上您的兄弟,一起掌上攻沙吧!
热血合击
《热血合击》单职业传承经典,回归初心,还原经典题材、场景和玩法,华丽战斗表现,技能特效酷炫爆炸,英雄合击,战法道三英雄任由派遣,沙城争霸,一统江湖!
热门页游
暗黑大天使
热血战歌
猛将天下
龙权天下
传奇霸业
灭神
热门手游
斩月屠龙
我的帝国
大天使之剑
雷霆霸业
热血合击
游戏工具
游戏盒子
公众号
当前位置:手游 > coinbase最新中文版平台 > 手游新闻 > 新的BitForge加密货币钱包漏洞让黑客窃取加密货币

新的BitForge加密货币钱包漏洞让黑客窃取加密货币

时间:  2023-08-10 11:09:42  来源:  网络  作者:  网络


多个零日漏洞,命名为“BitForge”,影响了广泛使用的密码协议实现,如GG-18、GG-20和Lindell 17,影响了包括Coinbase、ZenGo、币安等知名加密货币钱包提供商。这些漏洞可能允许攻击者在不需要与用户或供应商进行交互的情况下,在几秒钟内窃取受影响钱包中存储的数字资产。这些漏洞是Fireblocks密码研究团队于2023年5月发现的,他们将其共同命名为“BitForge”。

今天,分析师们在“Small Leaks, Billions Of Dollars: Practical Cryptographic Exploits That Undermine Leading Crypto Wallets” BlackHat演示中公开披露了BitForge,与此同时,Coinbase和ZenGo已经应用修复措施来解决这个问题。然而,Fireblocks表示,币安和其他数十家钱包提供商仍然容易受到BitForge的攻击,Fireblocks为项目创建了一个状态检查器,以检查它们是否因不正确的多方计算(MPC)协议实现而面临风险。

BitForge漏洞
Fireblocks发现的第一个漏洞(CVE-2023-33241)影响了GG18和GG20门限签名方案(TSS),这被认为是先驱性的,也是MPC钱包行业的基础,允许多方生成密钥和共同签署交易。Fireblocks的分析人员发现,根据实现参数,攻击者可以发送一个特制的消息,并以16位为单位提取密钥片段,通过16次操作从钱包中检索完整的私钥。

这个漏洞源于对攻击者的Paillier模数(N)以及基于存在小因子或双素数的加密状态的检查不足。Fireblocks的报告中写道:“如果被利用,该漏洞允许与TSS协议中的签署方进行交互的威胁行为者窃取其秘密片段,并最终获得主秘密密钥。”

“漏洞的严重程度取决于实现参数,因此不同的参数选择会引发不同的攻击,所需的努力/资源程度也会不同。”

在Lindell17 2PC协议中发现的漏洞(CVE-2023-33242)性质相似,允许攻击者在大约200次签名尝试后提取整个私钥。这个漏洞不是协议本身的问题,而是2PC协议的实现问题,它通过钱包对中止操作的处理不当来表现出来,这迫使它们继续签署操作,无意中暴露私钥的位。利用这个漏洞的攻击是“非对称的”,这意味着可以通过破坏客户端或服务器来利用它。在第一种情况下,攻击者破坏客户端,让其代表他们向服务器发送命令,这将逐渐揭示服务器秘密密钥的一位。

Fireblocks表示,需要256次这样的尝试才能收集足够的数据来重构服务器的完整秘密份额。然而,由于没有设定限制,攻击者可以迅速连续发送请求给服务器,因此可以在短时间内进行攻击。

第二种情况是利用受损的服务器来获取客户端的秘密密钥,通过特制的消息来检索。同样,需要256次请求才能完整提取密钥。分析人员还在GitHub上发布了每个协议的两个概念验证(PoC)漏洞利用代码。Coinbase告诉BleepingComputer,在漏洞被披露后,他们已经修复了其钱包作为服务(WaaS)解决方案中的漏洞,并感谢研究人员的负责任披露。

Coinbase的首席信息安全官Jeff Lunglhofer表示:“我们要感谢Fireblocks发现并负责任地披露了这个问题。虽然Coinbase的客户和资金从未受到威胁,但保持完全无信任的密码模型是任何MPC实现的重要方面。树立高行业安全标准有助于保护生态系统,并对这项技术的广泛采用至关重要。”
文章很赞,分享给朋友
游戏攻略 更多