Новое исследование выявило уязвимости в новом классе подписи биткойн-алгоритма цифровой подписи на эллиптических кривых (ECDSA), которую организации с 2015 года используют для кражи средств у ничего не подозревающих пользователей, снимая более 222 биткойнов (BTC) за эти годы.
Раскрыта уязвимость в подписях Bitcoin ECDSA
Исследование, результаты которого были опубликованы 9 июня, показывает, что недостатки в пользовательских подписях ECDSA могут раскрыть закрытые ключи отправителя и даже в значительной степени раскрыть не только истинную личность отправителя, но и их соответствующие адреса, особенно если отправитель В сети.
Исследователи нашли новый способ использования уязвимости в том, как подписи ECDSA создаются в биткойнах. Слабость возникает, когда «одноразовый номер подписи создается путем объединения половины битов хэша сообщения вместе с половиной битов секретного ключа подписи». Таким образом, злоумышленник может приступить к созданию поддельных подписей ECDSA, которые кажутся действительными.
Чтобы выполнить эту «атаку на основе решетки», исследователи заявили, что злоумышленник может восстановить закрытые ключи ECDSA отправителя, только если он знает одноразовый номер, используемый для создания одной подписи. Одноразовый номер в биткойнах — это уникальное случайное число, сгенерированное майнером, которое используется для создания хэша. Этот хэш удовлетворяет требованиям сложности биткойнов при проверке блока транзакций биткойнов (BTC), предотвращая мошенничество и двойные траты.
Затронуто около 90 000 пользовательских подписей.
Подпись ECDSA — это алгоритмический алгоритм, который используется для подписи транзакций. В биткойн-блокчейне все держатели закрытых ключей, то есть владельцы биткойнов (BTC), должны подписывать транзакции, подтверждая, что они являются владельцами, прежде чем эти транзакции будут обработаны в цепочке.
Подпись ECDSA, необходимая для утверждения транзакций, создается с использованием закрытого и открытого ключей отправителя. Этот алгоритм подписи ECDSA имеет решающее значение для обеспечения того, чтобы только отправитель монеты был истинным владельцем. В то же время он защищает от двойных трат и мошенничества.
Новое открытие показывает, что пользовательские подписи ECDSA в сети блокчейна уязвимы и могут привести к утечке средств, подлинной личности и местонахождению отправителя. В ходе расследования было выявлено около 90 000 уязвимых пользовательских подписей ECDSA. Они были созданы 900 различными адресами, которые с тех пор переместили 222 BTC.
