loading...
币圈网报道:
区块链安全公司Slowmist已在广泛使用的JavaScript加密库中确定了一个漏洞,该库可能会使用户对攻击者的私有钥匙。
安全缺陷会影响流行的“椭圆”库,该库为几个加密货币钱包,身份系统和Web3应用程序提供椭圆曲线加密功能。
根据Slowmist的说法分析,漏洞来自图书馆在签名操作过程中对非标准输入的缺陷处理。该流程可能导致ECDSA特征中重复的随机数。由于这些签名的安全性完全取决于这些随机值的唯一性,因此任何重复都允许攻击者数学上推导私钥。
漏洞的原因是椭圆形库如何生成密码学家所说的“ k值”。这是一个随机数,绝不应该在不同的签名中重复使用。 Slowmist的分析表明,攻击者可以制作特定的输入,这些输入欺骗了图书馆重用该值。 Slowmist的报告解释说:“生成K时,将使用私钥和消息用作种子,以确保不同输入下的独特性。”
该缺陷会产生危险的攻击载体,因为它需要与受害者的最小互动。攻击者只需要观察一个合法的签名,然后欺骗目标签署专门制作的消息。通过比较这两个签名,攻击者可以使用相对简单的公式在数学上得出受害者的私钥。
JavaScript社区对椭圆形图书馆的使用使脆弱性的潜在影响更大。 Slowmist表明该漏洞均在最高6.6.0版本中存在,并使用各种椭圆曲线影响应用程序。
任何在外部提供的输入上执行ECDA签名的应用都有风险。这可能包括加密货币钱包,分散的金融应用程序,nft平台和基于Web3的身份身份验证应用程序。
数字货币空间中的图书馆利用带有攻击表面。如果私钥被妥协,则攻击者将对相应的资产充分控制。黑客可以在分散的应用程序中执行未经授权的转移,更改所有权记录或模仿用户。
Slowmist还向用户和开发人员发布了一些紧急建议,以减轻安全威胁。首先,开发人员应首先将椭圆库将其更新为6.6.1版或更高版本,因为该漏洞已在最新版本中正式解决。
除了刷新图书馆外,Slowmist建议开发人员在其应用程序中还包括进一步的安全预防措施。对于受影响的应用程序用户而言,最大的问题是他们的私钥是否可能已经处于危险之中。 Slowmist建议可能签署恶意或未知消息的用户应采取更换其私钥的预防措施。
尽管Slowmist的发现表明技术漏洞的威胁,但Scam Sniffer的数字表明传统网络钓鱼攻击连续三个月下降了。 2025年2月,7,442名受害者损失了532万美元。这比一月份的1,025万美元下降了48%,比12月的2358万美元下降了77%。
495
857
974
304
