- Головна
- /
- Безпека
- /
- Критична вразливість у бібліотеці шифрування Elliptic може загрожувати безпеці криптовалютних гаманців та активів.
Критична вразливість у бібліотеці шифрування Elliptic може загрожувати безпеці криптовалютних гаманців та активів.
27
Компанія SlowMist виявила критичну вразливість у широко використовуваній бібліотеці шифрування, яка може призвести до витоку приватних ключів. Ця вразливість може дозволити зловмисникам зворотно інженерувати приватні ключі в додатках, що залежать від цієї бібліотеки.
Фірма з безпеки блокчейну SlowMist повідомила про критичну вразливість у бібліотеці шифрування Elliptic Curve, яка часто використовується в криптовалютних гаманцях (включаючи MetaMask, Trust Wallet, Ledger і Trezor), системах аутентифікації особистості та додатках Web3. Зокрема, ця вразливість дозволяє атакуючим витягувати приватні ключі, маніпулюючи певними вхідними даними під час одноразової операції з підписування, що може дати їм повний контроль над цифровими активами або ідентифікаційними даними жертви.
⚠️ Критична вразливість (GHSA-vjh7-7g9h-fjfh) була виявлена у широко використовуваній бібліотеці шифрування Elliptic.
😈 Атакуючі можуть експлуатувати цю вразливість, створюючи специфічні вхідні дані для витягнення приватних ключів лише за допомогою однієї підпису, потенційно порушуючи безпеку цифрових активів.
Зазвичай процес алгоритму цифрового підпису на основі еліптичних кривих (ECDSA) вимагає кілька параметрів для генерації цифрового підпису: повідомлення, приватний ключ та унікальний випадковий номер (k). Повідомлення хешується, а потім підписується за допомогою приватного ключа. Що стосується випадкового значення k, то воно необхідне для забезпечення того, що навіть якщо те саме повідомлення підписується кілька разів, кожен підпис буде різним — подібно до того, як штамп вимагає свіжого чорнила для кожного використання. Конкретна вразливість, яку виявила SlowMist, виникає, коли k неправильно повторно використовується для різних повідомлень. Якщо k повторно використовується, зловмисники можуть експлуатувати цю вразливість, що може дозволити їм зворотно інженерувати приватний ключ.
Подібні вразливості в ECDSA вже призводили до зламів безпеки в минулому. Наприклад, у липні 2021 року протокол Anyswap був зламаний, коли зловмисники скористалися слабкими підписами ECDSA. Вони використали цю вразливість для підробки підписів, що дозволило їм зняти кошти з протоколу Anyswap, що призвело до втрати близько 8 мільйонів доларів.
Вам також може бути цікаво:Відновлення криптогаманця без приватного ключа або сіда-фрази | Думка
Шахрайство з фальшивими Bitcoin-АТМ: як Kitboga витрачає час шахраїв на 4000 годин і захищає потенційні жертви
Стример Kitboga витратив 4,000 годин шахраїв у смішному лабіринті, збираючи важливу інформацію для їх покарання. Ця методика допомагає захистити людей від шахрайств з Bitcoin. 🎮💰🕵️♂️✨
Ripple попереджає про шахраїв на Youtube, які імітують офіційні акаунти та обманюють трейдерів XRP.
Ripple попереджає трейдерів XRP про підроблені YouTube-канали, що видають себе за офіційні акаунти. Шахраї використовують оманливі схеми для збору токенів. Будьте обережні! 🚨💔💰🔒
Чоловік з Теннессі вкрадений 11 мільйонів доларів у криптовалюті: історія зради та шахрайства
У Теннессі арештовано Кірка Веста за крадіжку 11 мільйонів доларів у криптовалюті з дому його партнерки. Влада розслідує справу, а криптоактиви залишаються втраченими. 💰🔒🚓💔📉
Аризонська інфлюенсерка отримала 8,5 років за шахрайство на користь Північної Кореї через IT-роботи в США
ТікТок-інфлюенсерка Христина Чапмен отримала 8,5 років за шахрайство на користь Північної Кореї. Вона допомагала отримувати IT-роботи в США, відмиваючи мільйони доларів. 💻💰🚨