Fireblocks, acteur majeur de ce secteur, lève le voile sur une faille techniquement dangereuse et qualifiée de zero day touchant les portefeuilles crypto. Quelle est cette vulnérabilité qui menace la sérénité des utilisateurs ?
BitForge : Une menace latente pour les portefeuilles crypto
Fireblocks, une entreprise renommée dans le domaine de la sécurité des actifs numériques, a récemment mis en évidence une vulnérabilité importante affectant les portefeuilles crypto. Nommée BitForge, cette vulnérabilité a été identifiée principalement dans les portefeuilles utilisant la technologie de calcul multipartite (MPC).
1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
Cette technologie permet à divers individus de collaborer dans la gestion et le contrôle des actifs crypto. Curieusement, ces failles, classées comme “zero day”, n’avaient pas été détectées par les entités concernées avant la révélation de Fireblocks.
Ces vulnérabilités, si elles restaient sans réponse, permettraient aux pirates un accès sans précédent pour drainer les fonds de millions de portefeuilles.
Des géants de l’industrie touchés, mais réactifs
Parmi les portefeuilles touchés, on retrouve des noms notables comme Coinbase, Zengo et Binance. Suite à cette divulgation, et respectant la période de divulgation de 90 jours suggérée par l’industrie, ces entreprises ont efficacement traité les vulnérabilités identifiées.
Jeff Lunglhofer, le responsable de la sécurité de l’information chez Coinbase, a exprimé sa gratitude envers Fireblocks pour son approche responsable face à cette situation. En écho, le directeur de la technologie chez Zengo, Tal Be’ery, a confirmé la résolution rapide de cette vulnérabilité tout en rassurant que les fonds de leurs utilisateurs n’ont subi aucun préjudice.
Quant à Binance, Changpeng Zhao, son PDG, a salué Fireblocks pour cette découverte, soulignant que cela a permis à la plateforme de prendre des mesures préventives.
This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!
No @Binance user funds affected.
Even MPC custody solutions have risks. Stay #SAFU! 🙏 https://t.co/UneRs7VOj7
— CZ 🔶 Binance (@cz_binance) August 10, 2023
Le fonctionnement et les failles des portefeuilles MPC
Les portefeuilles crypto s’appuyant sur la technologie MPC présentent une architecture singulière. Ils chiffrent avec soin la clé privée de l’individu pour ensuite la distribuer parmi divers acteurs : l’individu possédant le portefeuille, le prestataire de service et parfois un tiers.
En théorie, cette technique devrait assurer qu’aucun acteur ne puisse débloquer le portefeuille sans le consensus des autres participants.
Cependant, une faille nommée BitForge, révélée par Fireblocks, soulève une préoccupation majeure. Selon leurs analyses, cette vulnérabilité offrirait la possibilité à des cybercriminels d’accéder à la clé privée complète en infiltrant simplement un seul des acteurs impliqués.
Ce constat démontre la difficulté des défis liés à la sécurité dans l’univers de la blockchain et l’importance d’examiner constamment les mécanismes de protection.
La technologie MPC s’est imposée comme une figure emblématique dans le paysage des actifs numériques. Pavel Berengoltz, éminente figure de Fireblocks, a émis des réserves quant à l’uniformité de la qualité parmi les divers intervenants exploitant cette technologie.
Malgré l’avancée technologique, des écarts en matière de fiabilité se font ressentir. Le passage vers l’ère numérique, bien qu’apportant son lot d’innovations, exige une vigilance accrue en matière de sécurité.
Source : CoinTelegraph
- TRON : une faille exposant plus de 500 millions de dollars a été découverte
- Kyber Network découvre une faille sur son protocole, le token chute de plus de 2%
- Fireblocks : l’entreprise spécialisée dans la garde d’actifs numériques repère une faille sur BitGo !