Lỗ hổng BitForge cho phép hacker đánh cắp tiền điện tử

Nhiều lỗ hổng zero-day có tên ‘BitForge’ trong việc triển khai các giao thức mã hóa được sử dụng rộng rãi như GG-18, GG-20 và Lindell 17 đã ảnh hưởng đến các nhà cung cấp ví điện tử phổ biến, bao gồm Coinbase, ZenGo, Binance…

Những lỗ hổng này có thể cho phép kẻ tấn công đánh cắp tài sản kỹ thuật số được lưu trữ trong ví chỉ trong vài giây mà không yêu cầu tương tác của người dùng hoặc nhà cung cấp.

Các lỗ hổng được Nhóm nghiên cứu mật mã Fireblocks phát hiện vào tháng 5/2023 và đặt tên là ‘BitForge’. Tại thời điểm các nhà phân tích tiết lộ công khai BitForge (tại BlackHat), Coinbase và ZenGo đã áp dụng các bản vá lỗi để giải quyết vấn đề.

Tuy nhiên, Fireblocks cho biết Binance và hàng chục nhà cung cấp ví khác vẫn dễ bị tấn công bởi BitForge.

Các nhà nghiên cứu cũng đã công bố PoC cho mỗi giao thức trên GitHub.

Nguồn: Bleeping Computer