- Главная
- /
- Безопасность
- /
- Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
Критическая уязвимость в библиотеке шифрования угрожает приватным ключам криптокошельков
12
Компания SlowMist обнаружила критическую уязвимость в широко используемой библиотеке шифрования, которая может привести к утечке приватных ключей.
Фирма по обеспечению безопасности блокчейна SlowMist отметила критическую уязвимость в библиотеке шифрования на базе JavaScript, часто используемой в криптокошельках (включая MetaMask, Trust Wallet, Ledger и Trezor), системах аутентификации личности и приложениях Web3. Конкретно, отмеченная уязвимость позволяет злоумышленникам извлекать приватные ключи, манипулируя определенными входными данными во время одной операции подписи, что может предоставить им полный контроль над цифровыми активами или учетными данными жертвы.
⚠️ Обнаружена критическая уязвимость (GHSA-vjh7-7g9h-fjfh) в широко используемой библиотеке эллиптического шифрования.
Злоумышленники могут воспользоваться этим недостатком, создавая специфические входные данные для извлечения приватных ключей лишь с одной подписью, что потенциально может поставить под угрозу цифровые активы.
Типичный процесс алгоритма цифровой подписи с использованием эллиптической кривой (ECDSA) требует нескольких параметров для генерации цифровой подписи: сообщение, приватный ключ и уникальное случайное число (k). Сообщение хешируется, а затем подписывается с использованием приватного ключа. Что касается случайного значения k, оно необходимо для того, чтобы даже если одно и то же сообщение подписывается несколько раз, каждая подпись была уникальной, подобно тому, как печать требует свежей краски для каждой печати. Конкретная уязвимость, выявленная компанией SlowMist, возникает, когда k ошибочно переиспользуется для различных сообщений. Если k переиспользуется, злоумышленники могут воспользоваться этой уязвимостью, что позволяет им восстановить приватный ключ.
Похожая уязвимость в ECDSA уже приводила к нарушениям безопасности в прошлом. Например, в июле 2021 года протокол Anyswap был скомпрометирован, когда злоумышленники воспользовались слабыми подписями ECDSA. Они использовали уязвимость для подделки подписей, что позволило им вывести средства из протокола Anyswap, в результате чего был потерян около 8 миллионов долларов.
Хакер zkLend потерял $5.4 миллиона из-за фишинга: ирония судьбы или уловка?
Хакер, который украл $9.57 млн у zkLend, якобы стал жертвой мошенничества, потеряв $5.4 млн на фишинговом сайте. Некоторые сомневаются в его истории, подозревая инсценировку. 🕵️♂️💰🔍😅
Северокорейские хакеры украли $1,4 миллиарда из криптоиндустрии: расследование группы Lazarus и другие киберугрозы КНДР
Северокорейские хакеры, группа Lazarus, украли $1,4 миллиарда с Bybit. Экосистема КНДР включает различные группы с уникальными методами. Безопасность криптоиндустрии под угрозой! 🔒💰👾
Северокорейские хакеры: эволюция криптовалютных атак и новые методы кражи средств
Северокорейские криптохакеры стали более изощренными, украдя $3 млрд с 2017 года. Группа Lazarus и другие используют фишинг и поддельные вакансии для атак. Усложнение методов затрудняет их отслеживание. 💻💰🔍🚨
Мошенничество с Gemini: мошеннические письма вызывают панику среди пользователей о банкротстве компании
Виртуальные мошенники распускают слухи о банкротстве Gemini, рассылая ложные письма. Пользователей призывают перевести средства в «кошелек Exodus». Будьте бдительны! 🚨🔍⚠️🛡️💰