CEO của Sàn Binance, Changpeng Zhao, đã lên tiếng để giải quyết những lo ngại về lỗ hổng BitForge. Vấn đề bảo mật này, như được phát hiện bởi nhóm nghiên cứu Fireblocks, đã được xác định trong một số giao thức tính toán đa bên (MPC) được áp dụng rộng rãi nhất, bao gồm các giao thức như GG-18, GG-20 và Lindell17.
Changpeng Zhao, trong một tuyên bố trấn an, đã tuyên bố qua Twitter ngày hôm nay, “Vấn đề này đã xuất hiện trong Threshold Signature Scheme (TSS) Thư viện nguồn mở Binance, đã được khắc phục. Cảm ơn Fireblocks vì đã khám phá ra nó! Không có khoản tiền nào của người dùng Binance bị ảnh hưởng. Ngay cả các giải pháp lưu ký MPC cũng có rủi ro. Ở lại #SAFU!
This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!
No @Binance user funds affected.
Even MPC custody solutions have risks. Stay #SAFU! ? https://t.co/UneRs7VOj7
— CZ ? Binance (@cz_binance) August 10, 2023
Tìm Hiểu Sâu Về Những Phát Hiện Của BitForge
Nghiên cứu của Fireblocks đã tiết lộ rằng BitForge là một loạt các lỗ hổng zero-day có khả năng cho phép những kẻ tấn công có quyền truy cập đặc quyền rút tiền từ ví mà người dùng hoặc nhà cung cấp không hề hay biết, thường chỉ trong vài giây.
Các lỗ hổng trong giao thức GG18 và GG20 đặc biệt đáng báo động. Các giao thức này, được các nhà cung cấp ví MPC áp dụng rộng rãi, có một lỗ hổng do thiếu zero knowledge proof, điều này có thể dẫn đến việc toàn bộ khóa cá nhân bị rò rỉ.
Các giao thức GG-18 và GG-20 trước đó đã được cập nhật vào năm 2020 để vá một lỗ hổng. Tuy nhiên, những sửa đổi này đã vô tình tạo ra một lỗ hổng khác. Mức độ nghiêm trọng của lỗ hổng này khác nhau tùy thuộc vào việc triển khai cụ thể các giao thức GG của các nhà cung cấp ví khác nhau. Trong một số trường hợp, những kẻ tấn công có thể trích xuất các khóa chỉ trong 16 chữ ký, trong khi ở những trường hợp khác, có thể cần tới 1 tỷ chữ ký.
Mặt khác, lỗ hổng giao thức Lindell17 là kết quả của sự sai lệch so với thông số kỹ thuật của bài báo học thuật ban đầu. Sự sai lệch này có thể dẫn đến việc xử lý sai các chữ ký không thành công, tạo ra một cửa hậu tiềm ẩn cho những kẻ tấn công. Kẻ tấn công có thể khai thác bên hoàn thiện quy trình ký, có thể là nhà cung cấp ví hoặc người dùng, để lấy cắp khóa sau khoảng 200 yêu cầu chữ ký.
Phản Ứng Của Binance Và Ngành Công Nghiệp
Phát hiện của Fireblocks không chỉ làm nổi bật các lỗ hổng tiềm ẩn mà còn nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật nghiêm ngặt và nhu cầu nghiên cứu liên tục trong không gian tiền điện tử. Sự thừa nhận và khắc phục nhanh chóng của Binance đối với vấn đề trong Thư viện TSS nguồn mở của họ minh họa cho lập trường chủ động của ngành đối với các mối đe dọa tiềm tàng.
Mặc dù cộng đồng tiền điện tử vẫn cảnh giác, nhưng sự minh bạch và nhanh chóng được thể hiện bởi Binance và các nhà cung cấp ví bị ảnh hưởng khác là rất đáng khen ngợi. Tuy nhiên, như Changpeng Zhao đã nhấn mạnh, ngay cả những giải pháp đáng tin cậy nhất cũng có thể có lỗ hổng.
Vào thời điểm viết bài, Binance Coin (BNB) được giao dịch ở mức $241,9, có xu hướng tăng nhẹ sau mức thấp hàng năm ở mức $220 vào ngày 12 tháng 6. Tuy nhiên, để xác nhận sự đảo chiều tăng giá, BNB cần phải phá vỡ ngưỡng kháng cự ở mức $258.