- Главная
- /
- Безопасность
- /
- Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
29
Компания SlowMist обнаружила критическую уязвимость в широко используемой библиотеке шифрования, которая может привести к утечке приватных ключей.
Фирма по обеспечению безопасности блокчейна SlowMist отметила критическую уязвимость в библиотеке шифрования на базе JavaScript, часто используемой в криптокошельках (включая MetaMask, Trust Wallet, Ledger и Trezor), системах аутентификации личности и приложениях Web3. Конкретно, отмеченная уязвимость позволяет злоумышленникам извлекать приватные ключи, манипулируя определенными входными данными во время одной операции подписи, что может предоставить им полный контроль над цифровыми активами или учетными данными жертвы.
⚠️ Обнаружена критическая уязвимость (GHSA-vjh7-7g9h-fjfh) в широко используемой библиотеке эллиптического шифрования.
Злоумышленники могут воспользоваться этим недостатком, создавая специфические входные данные для извлечения приватных ключей лишь с одной подписью, что потенциально может поставить под угрозу цифровые активы.
Типичный процесс алгоритма цифровой подписи с использованием эллиптической кривой (ECDSA) требует нескольких параметров для генерации цифровой подписи: сообщение, приватный ключ и уникальное случайное число (k). Сообщение хешируется, а затем подписывается с использованием приватного ключа. Что касается случайного значения k, оно необходимо для того, чтобы даже если одно и то же сообщение подписывается несколько раз, каждая подпись была уникальной, подобно тому, как печать требует свежей краски для каждой печати. Конкретная уязвимость, выявленная компанией SlowMist, возникает, когда k ошибочно переиспользуется для различных сообщений. Если k переиспользуется, злоумышленники могут воспользоваться этой уязвимостью, что позволяет им восстановить приватный ключ.
Похожая уязвимость в ECDSA уже приводила к нарушениям безопасности в прошлом. Например, в июле 2021 года протокол Anyswap был скомпрометирован, когда злоумышленники воспользовались слабыми подписями ECDSA. Они использовали уязвимость для подделки подписей, что позволило им вывести средства из протокола Anyswap, в результате чего был потерян около 8 миллионов долларов.
«Хакеры теряют 13 млн долларов на панической продаже криптовалюты во время рыночного хаоса»
Хакеры потеряли более 13,4 миллиона долларов, панически продавая ETH в условиях рыночного хаоса. Их действия показывают, что даже опытные злоумышленники могут терпеть убытки. 💸🔍
Пенсионный терапевт из Коннектикута потерял все сбережения в крипто мошенничестве: разоблачение схемы «свинопас»
Пенсионный терапевт из Коннектикута потерял все сбережения, став жертвой крипто мошенничества. ФБР расследует случаи схем «свинопас», пока мошенничество нарастает. 🚨💸
Шутка с ИИ о бездомных пугает американцев и вызывает ложные тревоги в полиции
Полиция предупреждает о вирусной шутке в TikTok с ИИ-изображениями бездомных, вызывающей панику и ложные вызовы 911. Это перегружает экстренные службы и может быть опасно. 🚨😱📞
США получили доступ к 120,000 BTC, угадав приватные ключи из-за уязвимости генератора случайных чисел
США получили доступ к 120,000 биткойнов, угадав приватные ключи из-за уязвимости в генерации ключей. Ошибка затронула более 220,000 адресов. 🔑💰🔍 #Криптовалюты