- Главная
- /
- Безопасность
- /
- Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
16
Компания SlowMist обнаружила критическую уязвимость в широко используемой библиотеке шифрования, которая может привести к утечке приватных ключей.
Фирма по обеспечению безопасности блокчейна SlowMist отметила критическую уязвимость в библиотеке шифрования на базе JavaScript, часто используемой в криптокошельках (включая MetaMask, Trust Wallet, Ledger и Trezor), системах аутентификации личности и приложениях Web3. Конкретно, отмеченная уязвимость позволяет злоумышленникам извлекать приватные ключи, манипулируя определенными входными данными во время одной операции подписи, что может предоставить им полный контроль над цифровыми активами или учетными данными жертвы.
⚠️ Обнаружена критическая уязвимость (GHSA-vjh7-7g9h-fjfh) в широко используемой библиотеке эллиптического шифрования.
Злоумышленники могут воспользоваться этим недостатком, создавая специфические входные данные для извлечения приватных ключей лишь с одной подписью, что потенциально может поставить под угрозу цифровые активы.
Типичный процесс алгоритма цифровой подписи с использованием эллиптической кривой (ECDSA) требует нескольких параметров для генерации цифровой подписи: сообщение, приватный ключ и уникальное случайное число (k). Сообщение хешируется, а затем подписывается с использованием приватного ключа. Что касается случайного значения k, оно необходимо для того, чтобы даже если одно и то же сообщение подписывается несколько раз, каждая подпись была уникальной, подобно тому, как печать требует свежей краски для каждой печати. Конкретная уязвимость, выявленная компанией SlowMist, возникает, когда k ошибочно переиспользуется для различных сообщений. Если k переиспользуется, злоумышленники могут воспользоваться этой уязвимостью, что позволяет им восстановить приватный ключ.
Похожая уязвимость в ECDSA уже приводила к нарушениям безопасности в прошлом. Например, в июле 2021 года протокол Anyswap был скомпрометирован, когда злоумышленники воспользовались слабыми подписями ECDSA. Они использовали уязвимость для подделки подписей, что позволило им вывести средства из протокола Anyswap, в результате чего был потерян около 8 миллионов долларов.
Мошенник, конвертировавший миллионы в биткойны для наркоторговцев, приговорен к шести годам тюрьмы
Трун Нгуен из Массачусетса получил 6 лет за конвертацию более $1 млн в биткойны для мошенников и наркоторговца. Суд обязал вернуть $1.5 млн. Биткойн не дает анонимности! 💰🚫🔍
Масштабная операция против наркоторговли: арест 270 человек и изъятие 200 миллионов долларов в криптовалюте и наличными
Операция RapTor, инициированная США, выявила сети наркоторговцев в 10 странах, арестовав 270 человек и изъяв 200 миллионов долларов в активах. Цель — борьба с фентанилом и криптоотмыванием. 💰🚔🌍
Cetus предлагает $6 миллионов хакеру за возврат $223 миллионов после масштабного взлома
Протокол Cetus на Sui предлагает $6 млн хакеру за возврат $223 млн украденных активов. Взлом выявил уязвимость в ценообразовании, вызвав падение токенов и тревогу о безопасности в DeFi. 🚨💰🔍
Утечка данных на $400 миллионов из Coinbase: тревожный сигнал для криптовалютной безопасности
Утечка данных из Coinbase на $400 млн выявила уязвимости в безопасности криптобиржи. Эксперты считают, что это можно было предотвратить. Пользователи ждут ответов и компенсаций. ⚠️💰🔒