- Головна
- /
- Безпека
- /
- Критична вразливість у бібліотеці шифрування Elliptic може загрожувати безпеці криптовалютних гаманців та активів.
Критична вразливість у бібліотеці шифрування Elliptic може загрожувати безпеці криптовалютних гаманців та активів.
20
Компанія SlowMist виявила критичну вразливість у широко використовуваній бібліотеці шифрування, яка може призвести до витоку приватних ключів. Ця вразливість може дозволити зловмисникам зворотно інженерувати приватні ключі в додатках, що залежать від цієї бібліотеки.
Фірма з безпеки блокчейну SlowMist повідомила про критичну вразливість у бібліотеці шифрування Elliptic Curve, яка часто використовується в криптовалютних гаманцях (включаючи MetaMask, Trust Wallet, Ledger і Trezor), системах аутентифікації особистості та додатках Web3. Зокрема, ця вразливість дозволяє атакуючим витягувати приватні ключі, маніпулюючи певними вхідними даними під час одноразової операції з підписування, що може дати їм повний контроль над цифровими активами або ідентифікаційними даними жертви.
⚠️ Критична вразливість (GHSA-vjh7-7g9h-fjfh) була виявлена у широко використовуваній бібліотеці шифрування Elliptic.
😈 Атакуючі можуть експлуатувати цю вразливість, створюючи специфічні вхідні дані для витягнення приватних ключів лише за допомогою однієї підпису, потенційно порушуючи безпеку цифрових активів.
Зазвичай процес алгоритму цифрового підпису на основі еліптичних кривих (ECDSA) вимагає кілька параметрів для генерації цифрового підпису: повідомлення, приватний ключ та унікальний випадковий номер (k). Повідомлення хешується, а потім підписується за допомогою приватного ключа. Що стосується випадкового значення k, то воно необхідне для забезпечення того, що навіть якщо те саме повідомлення підписується кілька разів, кожен підпис буде різним — подібно до того, як штамп вимагає свіжого чорнила для кожного використання. Конкретна вразливість, яку виявила SlowMist, виникає, коли k неправильно повторно використовується для різних повідомлень. Якщо k повторно використовується, зловмисники можуть експлуатувати цю вразливість, що може дозволити їм зворотно інженерувати приватний ключ.
Подібні вразливості в ECDSA вже призводили до зламів безпеки в минулому. Наприклад, у липні 2021 року протокол Anyswap був зламаний, коли зловмисники скористалися слабкими підписами ECDSA. Вони використали цю вразливість для підробки підписів, що дозволило їм зняти кошти з протоколу Anyswap, що призвело до втрати близько 8 мільйонів доларів.
Вам також може бути цікаво:Відновлення криптогаманця без приватного ключа або сіда-фрази | Думка
Чоловіка засудили на 6 років за відмивання 1 мільйона доларів у біткоїнах для наркоторговців та шахраїв
Чоловіка засудили на 6 років за відмивання 1 млн доларів у біткоїні для наркоторговців і шахраїв. Його бізнес працював без реєстрації, приховуючи сліди. 💰🚫🔒
Правоохоронці конфіскували $200 млн у цифрових активах та готівці під час глобальної операції проти торгівлі фентанілом
Глобальна операція RapTor знищила мережі наркотиків, конфіскувавши $200 млн у готівці та криптоактивах, арештувавши 270 осіб у 10 країнах. 💰🚔🌍🔍💊
Cetus пропонує $6 мільйонів хакеру за повернення викрадених $223 мільйонів після злому на базі Sui
Протокол Cetus на Sui запропонував $6 млн хакеру за повернення $223 млн після злому. Злом виявив вразливості у ціноутворенні, серйозно вдаривши по екосистемі. 🔒💰💔
Збій Coinbase: $400 млн втрачених через гhack і проблеми з конфіденційністю користувачів
Забезпечення конфіденційності під загрозою: атака на Coinbase призвела до витоку $400 млн, підкреслюючи вразливість криптовалютних платформ. 🔒💰📉 Виникають запитання щодо безпеки та відповідальності біржі.