Verichains identifica ataques críticos de recuperación de claves
Verichains, un proveedor líder de soluciones de seguridad de cadenas de bloques, ha anunciado que la empresa descubrió ataques críticos de recuperación de claves en Popular Threshold Signature Scheme (TSS), un protocolo de computación de múltiples partes (MPC).
MPC es una de las tecnologías más populares utilizadas por billeteras multiparte y soluciones de custodia de activos digitales. Con estas vulnerabilidades, muchos de los protocolos de seguridad actuales se verán afectados.
Verichains se ha convertido rápidamente en el estándar para proteger los activos digitales de muchas de las principales organizaciones financieras y de blockchain, como:
Populares esquemas de firma de umbral (TSS) son vulnerables a los ataques de recuperación de claves
Aunque la tecnología blockchain se desarrolla y se adopta cada vez más a nivel mundial, garantizar la seguridad y la disponibilidad de los fondos sin depender de una sola entidad de confianza es uno de los desafíos que se deben resolver.
Un Threshold Signature Scheme (TSS) es un protocolo criptográfico que permite a un grupo de partes generar una firma en un mensaje sin revelar sus claves secretas.
Como resultado, los fondos pueden ser controlados por un conjunto de firmantes que pueden cooperar para autorizar transacciones. Muchas organizaciones hoy en día están implementando protocolos MPC para umbral ECDSA basados en algoritmos GG18, GG20 y CGGMP21.
Fundada en 2017, la compañía de seguridad de blockchain se enfoca en soluciones de blockchain que incluyen 4 factores principales:
- Seguridad perimetral
- Auditorías de código
- Criptoanálisis
- Investigación de incidentes.
Verichains comenzó a investigar el umbral de seguridad ECDSA en octubre de 2022.
La firma de seguridad de blockchain también descubrió que, aunque se sometió a múltiples auditorías por parte de firmas de seguridad líderes, la mayoría de las implementaciones de TSS, incluidas las bibliotecas populares de código abierto, aún son vulnerables a los ataques de recuperación de claves.
Verichains tiene un fuerte compromiso con la divulgación responsable de vulnerabilidades, y tomamos medidas cuidadosas y consideradas al divulgar ataques, especialmente dada la amplia gama de proyectos afectados y los importantes fondos de los usuarios en riesgo. Menciono el cofundador de Verichains, Thanh Nguyen.
Si bien dejó un aviso a las organizaciones afectadas, la empresa también dará a conocer los detalles de los ataques cuando se hayan resuelto las vulnerabilidades.
La importancia de la seguridad de la cadena de bloques
Hoy, mientras que las tecnologías de Internet están en constante desarrollo, las cadenas de bloques crean nuevas formas comerciales que permiten la transformación digital descentralizada.
Ponerse al día con los desarrollos de blockchain requiere un conocimiento profundo de una amplia gama de lenguajes de desarrollo, secuencias de comandos y otros recursos.
Aunque es una de las tecnologías más innovadoras y disruptivas utilizadas en la actualidad, la tecnología blockchain aún es nueva en la industria de la ciberseguridad.
Con el uso generalizado de esta tecnología, todavía no hay suficientes desarrolladores con experiencia en blockchain y bien versados en criptografía.
Por otro lado, diseñadas por una arquitectura a gran escala con muchas capas, como consenso, contratos inteligentes o redes, las cadenas de bloques también suelen ser objeto de ataques cibernéticos y exponen una amplia variedad de vulnerabilidades.
Es necesario implementar un proceso de evaluación de la seguridad cibernética para que las soluciones de blockchain aborden las amenazas de seguridad cibernética relacionadas y mitiguen los riesgos, además de proporcionar un monitoreo continuo de nuevas amenazas e incidentes.
Verichains ha informado que no solo los sistemas basados en ECDSA pueden ser vulnerables, sino que también se verán afectados al menos $ 8 mil millones del valor total bloqueado.
La firma está llamando a los proyectos y plataformas de blockchain que se basan en el umbral ECDSA para priorizar la implementación de medidas de seguridad sólidas y buscar la revisión de expertos en seguridad para garantizar la seguridad de sus plataformas.