در دسامبر 2022، تیم تحقیقاتی رمزنگاری Fireblocks آسیبپذیری مهمی را در کیف پول رمزنگاری بیتگو شناسایی کرد که میتوانست کلیدهای خصوصی کاربران خردهفروشی و سازمانی را فاش کند. پس از اطلاع از نقص توسط Fireblocks، BitGo بلافاصله مشکل امنیتی را اصلاح کرد و از دارایی های مشتریان خود محافظت کرد. این آسیبپذیری مربوط به کیف پولهای BitGo Threshold Signature Scheme (TSS) بود و به طور بالقوه میتوانست کلیدهای خصوصی صرافیها، بانکها، کسبوکارها و افراد استفادهکننده از این پلتفرم را در معرض دید قرار دهد. خوشبختانه، پاسخ سریع BitGo به سرعت این آسیب پذیری را اصلاح کرد و هیچ کاربری تحت تأثیر قرار نگرفت.
در 10 دسامبر، تیم Fireblocks یک آسیبپذیری را در پروتکل کیف پول ECDSA TSS BitGo کشف کرد که «آسیبپذیری اثبات صفر BitGo» نام داشت. تنها با چند خط کد جاوا اسکریپت، مهاجمان می توانستند یک کلید خصوصی را در کمتر از یک دقیقه استخراج کنند. برای کاهش خطر امنیتی، BitGo در فوریه 2023 وصلهای منتشر کرد و مشتریان خود را ملزم کرد تا نرمافزار خود را تا 17 مارس به آخرین نسخه بهروزرسانی کنند. علاوه بر این، Fireblocks فاش کرد که سوء استفاده را با استفاده از یک حساب BitGo رایگان در شبکه اصلی شناسایی کرده است. فاقد مدارک اجباری دانش صفر بودند که به آنها اجازه می داد کلید خصوصی را از طریق یک حمله ساده افشا کنند.
استفاده از پلتفرمهای دارایی ارزهای رمزنگاری شده در سطح سازمانی استاندارد صنعتی با محاسبات چند جانبه (MPC/TSS) یا فناوری چند امضایی، خطر حمله به یک نقطه را کاهش میدهد. این امر با تقسیم کلید خصوصی به بخشهای مختلف و توزیع آنها بین چندین طرف به دست میآید. Fireblocks نشان داد که مهاجمان داخلی یا خارجی میتوانند از طریق دو روش مختلف به یک کلید خصوصی کامل دسترسی داشته باشند: اول، یک عامل مخرب میتواند از سمت کلاینت در معرض خطر یک کاربر برای شروع یک تراکنش سوء استفاده کند و بخشی از کلید خصوصی موجود در سیستم BitGo را بدست آورد. در صورت موفقیت، BitGo محاسبات امضا را انجام می دهد و سهواً قطعه کلید خود را افشا می کند. سپس مهاجم می تواند کلید خصوصی کامل را بازسازی کند، آن را در یک کیف پول خارجی بارگذاری کند و متعاقباً وجوه را برداشت کند.
سناریوی دوم در صورت به خطر افتادن BitGo، حمله را در نظر میگیرد، جایی که مهاجمان منتظر میمانند تا مشتریان قبل از ارسال مقادیر مخرب مورد استفاده برای امضای تراکنش با خرده کلید مشتری، تراکنش را آغاز کنند. این به مهاجم اجازه می دهد تا قطعه کلید کاربر را آشکار کند و آن را با بیت گو ترکیب کند تا کنترل کیف پول را به دست آورد.
در آگوست 2022، بیش از 8 میلیون دلار از بیش از 7000 کیف پول Slope مبتنی بر Solana به سرقت رفت و بیش از 9 میلیون دلار از کاربران مختلف کیف پول MyAlgo در شبکه Algorand تخلیه شد. علیرغم هیچ حملهای توسط بردار شناساییشده، Fireblocks به کاربران هشدار داد که قبل از وصله، ایجاد کیفپولهای جدید و انتقال وجه از کیف پولهای ECDSA TSS BitGo را در نظر بگیرند، زیرا هکهای کیف پول در صنعت ارزهای دیجیتال به طور فزایندهای شایع شدهاند.