Une nouvelle recherche a révélé des vulnérabilités dans la nouvelle classe de signature Bitcoin Elliptic Curve Digital Signature Algorithm (ECDSA) que les entités utilisent, depuis 2015, pour voler des fonds à des utilisateurs sans méfiance, survolant plus de 222 bitcoins (BTC) au fil des ans.
La faiblesse des signatures Bitcoin ECDSA révélée
L'étude, dont les conclusions ont été publiées le 9 juin, montre que des failles dans les signatures ECDSA personnalisées peuvent exposer les clés privées de l'expéditeur et même contribuer grandement à révéler non seulement la véritable identité de l'expéditeur, mais aussi ses adresses respectives, surtout si l'expéditeur est en ligne.
Vous aimerez peut-être aussi : la législature du Texas adopte de nouvelles lois sur l’exploitation minière du Bitcoin
Les chercheurs ont trouvé une nouvelle façon d’exploiter une vulnérabilité dans la façon dont les signatures ECDSA sont créées dans Bitcoin. La faiblesse se produit lorsque « le nom occasionnel de signature est généré en concaténant la moitié des bits du hachage du message avec la moitié des bits de la clé de signature secrète ». De cette manière, l’attaquant peut créer de fausses signatures ECDSA qui semblent valides.
Pour exécuter cette « attaque basée sur un réseau », les chercheurs ont déclaré que l’attaquant ne pouvait récupérer les clés privées ECDSA de l’expéditeur que s’il connaissait le nom occasionnel utilisé pour générer une signature unique. Un nom occasionnel dans Bitcoin est un nombre aléatoire unique généré par un mineur et utilisé pour créer un hachage. Ce hachage satisfait aux exigences de difficulté de Bitcoin lors de la vérification d’un bloc de transactions Bitcoin (BTC), empêchant ainsi la fraude et les doubles dépenses.
Environ 90 000 signatures personnalisées concernées
La signature ECDSA est un algorithme algorithmique utilisé pour signer des transactions. Dans la blockchain Bitcoin, tous les détenteurs de clés privées, c'est-à-dire les propriétaires de Bitcoin (BTC), doivent signer les transactions, vérifiant qu'ils sont propriétaires avant que ces transactions ne soient traitées sur la chaîne.
La signature ECDSA nécessaire à l'approbation des transactions est créée à l'aide des clés privées et publiques de l'expéditeur. Cet algorithme de signature ECDSA est essentiel pour garantir que seul l'expéditeur de la pièce est le véritable propriétaire. En même temps, cela protège contre les doubles dépenses et la fraude.
La nouvelle découverte révèle que les signatures ECDSA personnalisées dans le réseau blockchain sont vulnérables et peuvent divulguer des fonds, de véritables identités et l'emplacement de l'expéditeur. Au cours de l’enquête, près de 90 000 signatures ECDSA personnalisées vulnérables ont été identifiées. Celles-ci ont été créées par 900 adresses différentes qui ont depuis déplacé 222 BTC.
Lire la suite : Ancienne solution de paiement Meta, PayPal Executive Building sur Bitcoin Lightning Network
