Une vulnérabilité relative au portefeuille de cryptomonnaie BitGo a été récemment révélée par Fireblocks. La société basée à Palo Alto a déjà corrigé cette faille qui menaçait d'exposer les clés privées de ses utilisateurs particuliers et institutionnels. Elle prévoit tout de même intenter un procès contre Fireblocks pour divulgation inappropriée d'un bogue lié à son portefeuille.

BitGo aurait été victime d'une vulnérabilité critique

La faille a été identifiée par l'équipe de recherche du fournisseur d'infrastructure Fireblocks. Elle serait liée aux portefeuilles BitGo Threshold Signature Scheme (TSS) et aurait pu exposer les clés privées des utilisateurs particuliers et institutionnels. Cette vulnérabilité critique a été nommée BitGo Zero Proof Vulnerability par l'équipe de Fireblocks. Elle serait apparue pour la première fois au début du mois de décembre.

Fireblocks qui l'a notifié dans un rapport a bien noté qu'aucune attaque n'a réellement été menée par le vecteur identifié. Après avoir confirmé les détails techniques de ladite vulnérabilité, BitGo a dû suspendre son service le 10 décembre. Le portefeuille de cryptomonnaie a publié une mise à jour de correctif en février. La société basée à Palo Alto a par ailleurs demandé à ses clients d'effectuer une mise à jour de la dernière version avant le 17 mars.

Cependant, l'équipe de recherche du fournisseur d'infrastructure a averti les utilisateurs d'envisager la possibilité de créer de nouveaux portefeuilles. Elle recommande également à ces derniers de transférer des fonds depuis les portefeuilles ECDSA TSS BitGo avant le correctif.

À lire également : La Blockchain Association enquête sur une possible « débancarisation » des entreprises crypto

BitGo déclare que Fireblocks a violé leur accord de divulgation

Selon le dépositaire d'actifs numériques, le rapport de Fireblocks aurait juste transformé une lacune bien connue en un coup publicitaire.  BitGo déclare que l'ébruitement de l'information relative à la vulnérabilité de son portefeuille allait à l'encontre d'un accord de divulgation signé conjointement avec Fireblock. La société a également déclaré que le fournisseur d'infrastructure avait publié des résultats pour une version précoce.

Pourtant, une version de production du portefeuille de calcul multipartite avait déjà été déployée par l'entreprise auprès d'un nombre limité de développeurs. Le dépositaire d'actifs numériques déclare que Fireblocks a affirmé à tort que la version préliminaire était une version de production. Selon BitGo, l'équipe de recherche du fournisseur d'infrastructure aurait fait cela après avoir utilisé le portefeuille sur le réseau principal, contre son avis. Fireblocks a tout de même affirmé avoir suivi rigoureusement un processus de « divulgation coordonnée » entre l'équipe de sécurité de BitGo et son équipe de recherche.

Le dépositaire d'actifs numériques a toutefois réfuté avec fermeté la caractérisation des événements par Fireeblocks. Il émet par conséquent le souhait d'intenter une action en justice contre du fournisseur d'infrastructure. Les mesures comprennent notamment une injonction, des dommages-intérêts ainsi que des frais juridiques contre le fournisseur d'infrastructure.