• Главная
  • /
  • Безопасность
  • /
  • Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков

Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков

21

Компания SlowMist обнаружила критическую уязвимость в широко используемой библиотеке шифрования, которая может привести к утечке приватных ключей.

Фирма по обеспечению безопасности блокчейна SlowMist отметила критическую уязвимость в библиотеке шифрования на базе JavaScript, часто используемой в криптокошельках (включая MetaMask, Trust Wallet, Ledger и Trezor), системах аутентификации личности и приложениях Web3. Конкретно, отмеченная уязвимость позволяет злоумышленникам извлекать приватные ключи, манипулируя определенными входными данными во время одной операции подписи, что может предоставить им полный контроль над цифровыми активами или учетными данными жертвы.

⚠️ Обнаружена критическая уязвимость (GHSA-vjh7-7g9h-fjfh) в широко используемой библиотеке эллиптического шифрования.

Злоумышленники могут воспользоваться этим недостатком, создавая специфические входные данные для извлечения приватных ключей лишь с одной подписью, что потенциально может поставить под угрозу цифровые активы.

Типичный процесс алгоритма цифровой подписи с использованием эллиптической кривой (ECDSA) требует нескольких параметров для генерации цифровой подписи: сообщение, приватный ключ и уникальное случайное число (k). Сообщение хешируется, а затем подписывается с использованием приватного ключа. Что касается случайного значения k, оно необходимо для того, чтобы даже если одно и то же сообщение подписывается несколько раз, каждая подпись была уникальной, подобно тому, как печать требует свежей краски для каждой печати. Конкретная уязвимость, выявленная компанией SlowMist, возникает, когда k ошибочно переиспользуется для различных сообщений. Если k переиспользуется, злоумышленники могут воспользоваться этой уязвимостью, что позволяет им восстановить приватный ключ.

Похожая уязвимость в ECDSA уже приводила к нарушениям безопасности в прошлом. Например, в июле 2021 года протокол Anyswap был скомпрометирован, когда злоумышленники воспользовались слабыми подписями ECDSA. Они использовали уязвимость для подделки подписей, что позволило им вывести средства из протокола Anyswap, в результате чего был потерян около 8 миллионов долларов.

Источник
Вам может понравиться
Запутанный лабиринт: как стример затрачивает время мошенников для борьбы с мошенничеством с Bitcoin-банкоматами
Запутанный лабиринт: как стример затрачивает время мошенников для борьбы с мошенничеством с Bitcoin-банкоматами
Стример Kitboga создал поддельные Bitcoin-банкоматы для отвлечения мошенников и сбора информации. За год он потратил 3953 часа времени злоумышленников. 🌐💰😄✨
Просмотреть
Ripple предупреждает о мошенниках на Youtube, имитирующих аккаунты и обманывающих инвесторов XRP.
Ripple предупреждает о мошенниках на Youtube, имитирующих аккаунты и обманывающих инвесторов XRP.
Ripple предупреждает трейдеров XRP о мошенниках, захватывающих каналы на Youtube. Они подражают официальным аккаунтам и собирают XRP у инвесторов. Будьте осторожны! 🚨💰🔒
Просмотреть
В Теннесси мужчина украл у партнерши 11 миллионов долларов в криптовалюте и наличными
В Теннесси мужчина украл у партнерши 11 миллионов долларов в криптовалюте и наличными
Мужчина из Теннесси арестован за кражу 11 миллионов долларов в криптовалюте у своей партнерши. Уэст, ранее судимый, обманул Нэнси Джонс и исчез с активами. Суд назначен на 23 октября. 💰🚨🔒
Просмотреть
ТикТокер из Аризоны получил 8,5 года за помощь Северной Корее в IT-мошенничестве и отмывании денег
ТикТокер из Аризоны получил 8,5 года за помощь Северной Корее в IT-мошенничестве и отмывании денег
ТикТокерка Кристина Чапман осуждена на 8,5 лет за помощь северокорейским агентам в IT-мошенничестве. Она отмывала деньги и способствовала заражению 300 компаний. 💻🔒💰🌍🚨
Просмотреть