เมื่อวันที่ 9 สิงหาคม 2023 ที่ผ่านมา Fireblocks บริษัทผู้ให้บริการแพลตฟอร์มดูแลสินทรัพย์ดิจิทัลได้แถลงการณ์ว่า ทางบริษัทได้ตรวจพบช่องโหว่หลายแห่งที่ชื่อว่า BitForge ซึ่งกำลังส่งผลกระทบต่อกระเป๋าเงินคริปโตที่ใช้เทคโนโลยี Multi-Party Computation (MPC) ซึ่งเป็นเทคโนโลยีที่ช่วยให้ผู้มีส่วนร่วมหลายคนสามารถควบคุมและจัดการการถือครองคริปโตได้

Fireblocks ระบุว่า บริษัทผู้ให้บริการกระเป๋าเงินและโครงการคริปโตมากกว่า 15 รายที่มีผู้ใช้เป็นจำนวนมากมีช่องโหว่ Bitforge ขนาดใหญ่อยู่ ซึ่งอาจทำให้กระเป๋าเงินคริปโตกว่าหลายล้านใบถูกดูดเงินออกไปได้ และทางบริษัทได้ระบุช่องโหว่เหล่านี้ว่าเป็นช่องโหว่แบบ “Zero Day” ซึ่งหมายความว่า บริษัทผู้ให้บริการกระเป๋าเงินและโครงการคริปโตไม่เคยพบช่องโหว่เหล่านี้มาก่อน

Fireblocks เปิดเผยต่อว่า ช่องโหว่ BitForge เหล่านี้ส่งผลกระทบต่อบริษัทผู้ให้บริการกระเป๋าเงินคริปโตชั้นนำหลายราย รวมถึง Coinbase, Zengo และ Binance แต่หลังจากที่ Fireblocks ได้เปิดเผยถึงช่องโหว่ดังกล่าวเป็นระยะเวลา 90 วันตามมาตรฐานของอุตสาหกรรม บริษัท 3 แห่งดังกล่าวก็ได้จัดการอุดช่องโหว่ดังกล่าวไปเรียบร้อย

Jeff Lunglhofer ประธานเจ้าหน้าที่ฝ่ายการรักษาความปลอดภัยด้านข้อมูลของ Coinbase กล่าวขอบคุณ Fireblocks สำหรับการระบุและเปิดเผยช่องโหว่ดังกล่าวอย่างมีความรับผิดชอบ ด้านประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Zengo อย่าง Tal Be'ery ก็ได้กล่าวว่า ปัญหาดังกล่าวได้รับการแก้ไขในทันทีและไม่ได้ส่งผลกระทบต่อเงินของผู้ใช้งานแพลตฟอร์มของตนแม้แต่น้อย

กระเป๋าเงินคริปโตแบบ MPC จะมีการเข้ารหัสกุญแจส่วนตัว (Private Key) ของผู้ใช้ และแบ่งปันข้อมูลดังกล่าวให้กับผู้ที่เกี่ยวข้องซึ่งโดยทั่วไปจะประกอบไปด้วยเจ้าของกระเป๋าเงินคริปโต บริษัทผู้ให้บริการกระเป๋าเงินคริปโต และบุคคลที่สามอีกราย ซึ่งตามทฤษฎีแล้ว ไม่ควรมีใครในกลุ่มนี้สามารถปลดล็อกกระเป๋าเงินได้โดยที่ไม่ได้สื่อสารให้ฝ่ายอื่นทราบก่อน

ทั้งนี้ Fireblocks ระบุว่า ช่องโหว่ BitForge เหล่านี้อาจทำให้มิจฉาชีพสามารถ “ดูดเอารหัสกุญแจส่วนตัวได้ทั้งหมด หากพวกเขาสามารถเจาะระบบของอุปกรณ์เพียงแค่หนึ่งเครื่องได้”

Pavel Berengoltz ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยีของ Fireblocks กล่าวว่า “แม้ว่าเราจะรู้สึกมีกำลังใจที่ได้เห็นว่า MPC ถูกนำไปใช้กันอย่างแพร่หลายในอุตสาหกรรมสินทรัพย์ดิจิทัล แต่ก็เห็นได้ชัดจากการค้นพบของเรา รวมถึงกระบวนการเปิดเผยข้อมูลที่ตามมาของเราว่า บริษัทและทีมพัฒนา MPC ไม่ได้ถูกสร้างขึ้นมาอย่างเท่าเทียมกันทุกราย”

“บริษัทที่ใช้ประโยชน์จากเทคโนโลยีอินเทอร์เน็ตกระจายศูนย์ Web3 ควรทำงานอย่างใกล้ชิดกับผู้เชี่ยวชาญด้านความปลอดภัยที่มีความรู้และทรัพยากรเพื่อให้รู้เท่าทันและลดความอันตรายของช่องโหว่ได้” Berengoltz กล่าวต่อ