Verichains는 오늘 MPC(Multi-Party Computing) 프로토콜인 TSS(Threshold Signature Scheme) 구현에서 중요한 키 추출 공격을 발견했다고 발표했습니다.
MPC는 일반적으로 다자간 지갑 및 디지털 자산 보관 솔루션에서 사용되며 BNY Mellon(최대 글로벌 관리 은행), Revolut(유럽 최대 네오뱅크), ING, Binance를 포함한 주요 블록체인 및 금융 기관의 디지털 자산 보호를 위한 표준이 되었습니다. , Fireblocks, Coinbase 등이 있습니다. 이러한 이름이 포함되어 있다고 해서 해당 이름이 우리의 공격에 취약하다는 의미는 아니라는 점을 분명히 하는 것이 중요합니다.
블록체인 기술의 과제 중 하나는 신뢰할 수 있는 단일 실체에 의존하지 않고 자금의 보안과 가용성을 보장하는 것입니다. TSS(임계값 서명 체계)는 당사자 그룹이 개별 비밀 키를 공개하지 않고 메시지에 서명을 생성할 수 있도록 하는 암호화 프로토콜입니다. 이런 방식으로 자금은 거래 승인을 위해 협력할 수 있는 분산된 서명자 집합에 의해 제어될 수 있습니다.
오늘날 많은 기관에서는 GG18 , GG20 및 CGGMP21 알고리즘(동형 암호화 및 영지식 증명을 구현하는 프로토콜을 정의하는 Gennaro 및 Goldfeder 논문에서 시작)을 기반으로 임계값 ECDSA에 대한 MPC 프로토콜을 구현하고 있습니다.
Verichains는 2022년 10월부터 임계 ECDSA 보안을 연구해 왔으며 Golang 및 Rust의 인기 오픈 소스 라이브러리를 포함한 대부분의 TSS 구현이 여러 보안 감사를 거쳤음에도 불구하고 주요 복구 공격에 취약하다는 사실을 발견했습니다.
Verichains는 다양한 인기 지갑, 비수탁 키 인프라 및 크로스체인 자산 관리 프로토콜에서 1~2회의 서명식을 통해 단일 악의적인 당사자가 전체 개인 키를 추출하는 방법을 보여주는 실제 개념 증명 공격을 구축했습니다. 공격은 흔적을 남기지 않으며 상대방에게 무해한 것처럼 보입니다.
Verichains는 최소 80억 달러의 총 자산 가치가 위험에 처할 것으로 예상하지만 이는 위험에 처한 자금의 총 금액을 반영하지 않을 수도 있습니다. 또한 블록체인 외에 임계값 ECDSA를 사용하는 다른 시스템이 오픈 소스 라이브러리의 취약한 구현을 사용하는 경우 영향을 받습니다.
"Verichains는 책임 있는 취약성 공개에 대한 강한 의지를 갖고 있으며, 특히 광범위한 영향을 받는 프로젝트와 위험에 처한 상당한 사용자 자금을 고려할 때 공격을 공개할 때 신중하고 신중한 조치를 취합니다." Verichains의 공동 창립자이자 Intel의 전 CPU 보안 책임자인 Thanh Nguyen은 말했습니다.
Verichains는 영향을 받는 여러 공급업체에 통보했으며 2022년 12 월 fastMPC의 Secure Multi-Party Client of Multichain에서 [VSA-2022-120] 개인 키 추출 취약점에 대해 취한 접근 방식과 유사하게 취약점이 완화된 후 공격에 대한 세부 정보를 공개할 예정입니다.
Verichains는 ECDSA 임계값을 사용하는 모든 프로젝트와 플랫폼이 강력한 보안 조치 구현의 우선순위를 정하고 플랫폼의 안전과 보안을 보장하기 위해 보안 전문가의 검토를 구할 것을 촉구합니다.
베리체인스 소개
Verichains 는 코드 감사, 암호 분석, 경계 보안 및 사고 조사를 전문으로 하는 선도적인 블록체인 보안 회사입니다. 2017년 세계적 수준의 보안 연구자들이 설립한 이 회사는 보안, 암호화 및 핵심 블록체인 기술에 대한 광범위한 전문 지식을 활용하여 BNB Bridge 및 Ronin Bridge를 포함한 대규모 암호화 해킹의 보안 문제를 조사하고 해결하는 데 도움을 주었습니다. 문의사항이나 질문이 있으시면 info@verichains.io 로 연락주세요.
