Bezpečnostní výzkumníci objevili znepokojivou novou metodu, kterou mohou hackeři použít k extrakci soukromých klíčů z bitcoinové hardwarové peněženky, a to i při pouze podepsaných dvou transakcích, které nazvali „Dark Skippy“.
Tato chyba zabezpečení se potenciálně týká všech modelů hardwarových peněženek – i když se může zhoršit pouze v případě, že útočník přiměje oběť ke stažení škodlivého firmwaru.
Předchozí verze této metody vyžadovala, aby oběť zveřejnila „desítky“ transakcí do blockchainu. Ale novou verzi „Dark Skippy“ lze provést i v případě, že oběť odešle do blockchainu pouze několik transakcí. Útok lze navíc provést, i když se uživatel při generování počátečních slov spoléhá na samostatné zařízení.
Zprávu o zveřejnění zveřejnili Lloyd Fournier, Nick Farrow a Robin Linus 5. srpna. Fournier a Farrow jsou spoluzakladateli výrobce hardwarových peněženek Frostsnap, zatímco Linus je spolutvůrcem bitcoinových protokolů ZeroSync a BitVM.
Podle zprávy může být firmware hardwarové peněženky naprogramován tak, aby vložil části uživatelských počátečních slov do „tajných noncí s nízkou entropií“, které se pak používají k podepisování transakcí. Výsledné podpisy se po potvrzení transakcí odešlou do blockchainu. Útočník pak může skenovat blockchain, aby našel a zaznamenal tyto podpisy.
Výsledné signatury obsahují pouze „veřejné nonce“, nikoli samotné části počátečních slov. Útočník však může zadat tato veřejná nonce do Pollardova Kangaroo Algorithmu, aby úspěšně vypočítal tajná nonce z jejich veřejných verzí.
Pollard's Kangaroo Algorithm, objevený matematikem Johnem M. Pollardem, je algoritmus ve výpočetní algebře, který lze použít k řešení problému diskrétního logaritmu.
Podle výzkumníků lze pomocí této metody odvodit celou sadu počátečních slov uživatele, i když uživatel vytvoří pouze dva podpisy ze svého kompromitovaného zařízení a i když byla počáteční slova vytvořena na samostatném zařízení.
Související: Hlavní zranitelnost peněženky odhalena, protože uživatel sotva získal zpět 9 BTC
Předchozí verze zranitelnosti byly zdokumentovány v minulosti, uvedli výzkumníci. Tyto starší verze se však spoléhaly na „nonce grinding“, což je mnohem pomalejší proces, který vyžadoval mnohem více transakcí, které mají být odeslány do blockchainu. I tak se vědci zastavili před tím, aby Dark Skippy označili za novou zranitelnost a místo toho tvrdili, že jde o „nový způsob, jak využít existující zranitelnost“.
Ke zmírnění této hrozby zpráva navrhuje, aby výrobci hardwarových peněženek věnovali zvýšenou pozornost tomu, aby zabránili vniknutí škodlivého firmwaru do zařízení uživatelů, což mohou provést pomocí funkcí, jako je „zabezpečené spouštění a uzamčená rozhraní JTAG/SWD […] reprodukovatelná a prodejce. podepsané sestavení firmwaru[,...] [a] různé další bezpečnostní funkce.“ Kromě toho naznačuje, že majitelé peněženek mohou chtít používat praktiky k zajištění bezpečnosti svých zařízení, včetně „tajných míst, osobních sejfů nebo možná dokonce tašek s viditelnou manipulací“, ačkoli zpráva také naznačuje, že tyto praktiky mohou být „nemotorné“.
Dalším návrhem, který poskytuje, je, aby software peněženky používal „anti-exfiltrační“ podepisovací protokoly, které brání hardwarové peněžence, aby sama produkovala nonces.
Zranitelnost bitcoinové peněženky způsobila uživatelům v minulosti značné ztráty. V srpnu 2023 kyberbezpečnostní firma Slowmist oznámila, že bitcoiny v hodnotě více než 900 000 dolarů byly ukradeny prostřednictvím chyby v knihovně Libbitcoin explorer. V listopadu Unciphered oznámil, že bitcoin v hodnotě 2,1 miliardy dolarů držený ve starých peněženkách může být v nebezpečí, že ho útočníci vyčerpají kvůli chybě v softwaru peněženky BitcoinJS.
Magazín: podvod „Elon Musk na bitcoinu 2024“, hackování skupiny Lazarus, phishing MOG: Crypto-Sec
