CVE-2023-33241

Nome do Software Vulnerável e Versões Afetadas Carteiras de criptomoedas que implementam o protocolo TSS GG18 ou GG20 (versões afetadas não especificadas)

Descrição Carteiras de criptomoedas que utilizam os protocolos Threshold Signature Scheme (TSS) GG18 ou GG20 estão suscetíveis a um problema onde um invasor pode extrair uma chave privada ECDSA completa. Isso é feito injetando uma chave Pallier maliciosa e fraudando a prova de intervalo (range proof). Dependendo dos parâmetros Beta escolhidos na implementação do protocolo, o ataque pode exigir 16 ou mais assinaturas para exfiltrar totalmente as partes da chave privada de outras partes. Um incidente real envolveu a THORChain, que sofreu um roubo de US$ 10,7 milhões devido ao atraso na implantação de uma correção.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.