Bitcoin(BTC)$95,621.00-0.87%
Ethereum(ETH)$2,731.56-0.71%
XRP(XRP)$2.51-1.83%
Tether(USDT)$1.000.00%
BNB(BNB)$646.11-2.99%
Solana(SOL)$161.68-5.27%
USDC(USDC)$1.00-0.01%
Dogecoin(DOGE)$0.231097-5.33%
Cardano(ADA)$0.75-3.06%
Lido Staked Ether(STETH)$2,729.58-0.59%
Виявлено 8-річну вразливість, що впливає на процес підписання біткойнів, уражено понад 900 адрес
Нове дослідження знахідка виявив уразливості в новому класі підпису алгоритму цифрового підпису еліптичної кривої біткойнів (ECDSA), який організації з 2015 року використовували для викрадення коштів у нічого не підозрюючих користувачів, викравши понад 222 біткойни (BTC) протягом багатьох років.
Виявлено недоліки в підписах Bitcoin ECDSA
Дослідження, результати якого були оприлюднені 9 червня, показує, що недоліки в користувацьких підписах ECDSA можуть розкрити приватні ключі відправника і навіть значною мірою розкрити не лише справжню особу відправника, але й відповідні адреси, особливо якщо відправник є онлайн.
Дослідники знайшли новий спосіб використовувати вразливість у тому, як створюються підписи ECDSA в біткойнах. Слабкість виникає, коли «підпис nonce генерується шляхом об’єднання половини бітів хешу повідомлення разом із половиною бітів секретного ключа підпису». Таким чином зловмисник може продовжити створення підроблених підписів ECDSA, які виглядають дійсними.
Щоб виконати цю «атаку на основі решітки», дослідники стверджують, що зловмисник може відновити приватні ключі ECDSA відправника, лише якщо їм буде відомий nonce, який використовується для створення єдиного підпису. Одноразовий номер у Bitcoin — це унікальне випадкове число, згенероване майнером, яке використовується для створення хешу. Цей хеш відповідає вимогам складності біткойна під час перевірки блоку транзакцій біткойна (BTC), запобігаючи шахрайству та подвійним витратам.
Постраждало приблизно 90 000 користувацьких підписів
Підпис ECDSA — це алгоритмічний алгоритм, який використовується для підпису транзакцій. У блокчейні біткойн усі власники приватних ключів, тобто власники біткойнів (BTC), повинні підписувати транзакції, підтверджуючи, що вони є власниками, перш ніж ці транзакції будуть оброблені в ланцюжку.
Підпис ECDSA, необхідний для схвалення транзакцій, створюється за допомогою закритого та відкритого ключів відправника. Цей алгоритм підпису ECDSA має вирішальне значення для того, щоб лише відправник монети був справжнім власником. Водночас це захищає від подвійних витрат і шахрайства.
Нове відкриття показує, що користувацькі підписи ECDSA в мережі блокчейну є вразливими та можуть призвести до витоку коштів, справжньої особистості та місцезнаходження відправника. Під час розслідування було виявлено майже 90 000 вразливих користувацьких підписів ECDSA. Вони були створені 900 різними адресами, які з тих пір перемістили 222 BTC.
