Tl;dr: Fireblocks 于 8 月 9 日星期三公开分享了最近发现的某些MPC 钱包(包括 Binance、Coinbase 和 Zengo)的实施情况。我们的 Zengo X 研究团队与 Fireblocks 合作并迅速解决了这一发现。Zengo 用户没有受到影响,本案例研究凸显了 Zengo 安全框架的优势和稳健性。感谢 Fireblocks 负责任的披露:这正是主动协作的样子。
BitForge 问题
Fireblocks 团队通过对我们有意开源的 MPC 库进行了一系列创造性的加密渗透测试,找到了一种慢慢泄露个人用户私钥的方法。然而,这样做需要通过恶意软件直接访问特定用户的设备(这是非系统性的)。感染更新的移动设备需要一些 0day 漏洞,该漏洞通常仅与国家行为者相关。请注意,在这种攻击场景中,传统助记词钱包将立即容易受到攻击。
BitForge 强调 Zengo 强大的安全框架
由于没有一个系统是完全安全的,因此必须理解并接受加密安全的任何实际实现所固有的权衡。
高级 MPC 专业知识: Fireblocks 识别的特定问题需要一系列高级工具来实施,包括深入的实用 MPC 知识、攻击知识以及特定设备上的恶意软件。
开源审计:这一发现还凸显了我们开源加密库的强大功能。我们致力于在适当的时间和地点进行开源,为感兴趣的人管理白帽漏洞赏金计划,并进行了一系列第三方审计以继续加强我们的系统。
深度防御: Zengo 实施多层安全。虽然钱包基于 MPC,但这只是多个安全层的一部分,其中包括各种反黑客和移动安全技术。
最终,我们最重要的统计数据不言自明:自 2018 年 Zengo 成立以来,Zengo 拥有近 100 万客户,没有一个钱包被盗或被耗尽。我们致力于负责任的安全管理,并期待未来的合作,继续使这个行业对所有人来说都更加安全。
发表评论