هشدار Slowmist: نقص امنیتی جدید ممکن است منجر به نشت کلیدهای خصوصی شود

به گزارش مالی خبر، SlowMist یک نقص امنیتی مهم را در یک کتابخانه رمزگذاری گسترده استفاده کرده است ، که می تواند به هکرها اجازه دهد کلیدهای خصوصی مهندس را در برنامه هایی که به آن بستگی دارند ، معکوس کنند.

شرکت امنیتی Blockchain SlowMist یک آسیب پذیری امنیتی بحرانی را در کتابخانه رمزگذاری بیضوی جاوا اسکریپت ، که معمولاً در کیف پول های رمزنگاری شده (از جمله metamask ، کیف پول اعتماد ، دفترچه و Trezor) مورد استفاده قرار می گیرد ، پرچم گذاری کرده است ، سیستم های تأیید هویت هویت و برنامه های کاربردی Web3. به طور خاص ، آسیب پذیری پرچم دار به مهاجمان اجازه می دهد تا با دستکاری ورودی های خاص در طی یک عملیات امضا ، کلیدهای خصوصی را استخراج کنند ، که می تواند کنترل کامل بر دارایی های دیجیتالی یا اعتبار هویت یک قربانی را به آنها بدهد.

فرآیند الگوریتم امضای دیجیتال منحنی بیضوی معمولی برای تولید یک امضای دیجیتال به چندین پارامتر نیاز دارد: پیام ، کلید خصوصی و یک شماره تصادفی منحصر به فرد (K). این پیام هشدار داده شده و سپس با استفاده از کلید خصوصی امضا می شود. در مورد مقدار تصادفی K ، لازم است اطمینان حاصل شود که حتی اگر همان پیام امضا شود ، هر امضا متفاوت است – با توجه به اینکه یک تمبر برای هر استفاده نیاز به جوهر تازه دارد. آسیب پذیری خاص مشخص شده توسط SlowMist هنگامی اتفاق می افتد که K به اشتباه برای پیام های مختلف مورد استفاده مجدد قرار می گیرد. در صورت استفاده مجدد از K ، مهاجمان می توانند از این آسیب پذیری سوء استفاده کنند ، که می تواند به آنها اجازه دهد کلید خصوصی را مهندسی کنند.

آسیب پذیری های مشابه در ECDSA در گذشته منجر به نقض امنیتی شده است. به عنوان مثال ، در ژوئیه سال 2021 ، پروتکل Anyswap هنگامی که مهاجمان از امضاهای ضعیف ECDSA استفاده کردند ، به خطر افتاد. آنها از این آسیب پذیری برای جعل امضاها استفاده کردند و به آنها اجازه می دادند بودجه را از پروتکل Anyswap پس بگیرند و در نتیجه 8 میلیون دلار از دست بدهند.

منبع: