VI

SlowMist phát hiện lỗ hổng bảo mật có thể dẫn đến rò rỉ khóa riêng

cryptonews.net 05/03/2025 - 11:37 AM

Lỗ Hổng Bảo Mật Nghiêm Trọng Trong Thư Viện Mã Hóa Elliptic

SlowMist đã xác định một lỗ hổng bảo mật nghiêm trọng trong một thư viện mã hóa được sử dụng rộng rãi, có thể cho phép hacker đảo ngược kỹ thuật các khóa bí mật trong các ứng dụng phụ thuộc vào nó.

Công ty bảo mật Blockchain SlowMist đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong thư viện mã hóa elliptic JavaScript, thường được sử dụng trong các ví tiền điện tử (bao gồm MetaMask, Trust Wallet, Ledger và Trezor), các hệ thống xác thực danh tính và các ứng dụng Web3. Cụ thể, lỗ hổng đã được chỉ ra cho phép kẻ tấn công trích xuất khóa bí mật bằng cách thao tác các đầu vào cụ thể trong một thao tác ký duy nhất, điều này có thể cho phép họ kiểm soát hoàn toàn tài sản kỹ thuật số hoặc thông tin danh tính của nạn nhân.

> ⚠️ Một lỗ hổng nghiêm trọng (GHSA-vjh7-7g9h-fjfh) đã được phát hiện trong thư viện mã hóa elliptic được sử dụng rộng rãi.
>
> 😈 Kẻ tấn công có thể khai thác lỗ hổng này bằng cách tạo ra các đầu vào cụ thể để trích xuất khóa bí mật chỉ với một lần ký duy nhất.
gnature, có khả năng làm tổn hại đến tài sản kỹ thuật số hoặc…
> — SlowMist (@SlowMist_Team) ngày 5 tháng 3 năm 2025

Quy trình của Thuật Toán Chữ Ký Số Đường Elip điển hình yêu cầu một số tham số để tạo ra một chữ ký số: thông điệp, khóa riêng và một số ngẫu nhiên duy nhất (k). Thông điệp được băm và sau đó được ký bằng khóa riêng. Đối với giá trị ngẫu nhiên k, nó cần thiết để đảm bảo rằng ngay cả khi cùng một thông điệp được ký nhiều lần, mỗi chữ ký là khác nhau—tương tự như cách một con dấu cần mực mới cho mỗi lần sử dụng. Lỗ hổng cụ thể mà SlowMist xác định nằm ở chỗ k được tái sử dụng sai cách cho các thông điệp khác nhau. Nếu k được tái sử dụng, kẻ tấn công có thể tận dụng lỗ hổng này, cho phép họ đảo ngược kỹ thuật khóa riêng.

Tin tức liên quan

  • Kaspersky cảnh báo về phần mềm độc hại SparkCat nhắm vào khóa riêng trên Android và iOS

Các lỗ hổng tương tự trong ECDSA đã dẫn đến các vụ vi phạm bảo mật trong quá khứ. Ví dụ, vào tháng 7 năm 2021, giao thức Anyswap đã bị xâm phạm.
d khi những kẻ tấn công đã lợi dụng các chữ ký ECDSA yếu. Họ đã sử dụng lỗ hổng này để giả mạo chữ ký, cho phép họ rút tiền từ giao thức Anyswap, dẫn đến thiệt hại khoảng 8 triệu đô la.

  • Khôi phục ví crypto mà không cần khóa riêng tư hoặc cụm từ hạt giống | Quan điểm

Bình luận (0)

    Chỉ số tham lam và sợ hãi

    Lưu ý: Dữ liệu chỉ mang tính tham khảo.

    hình minh họa chỉ số

    Tham lam

    63