نقص امنیتی جدید تحت بررسی؛ Slowmist درباره احتمال نشت کلید خصوصی هشدار داد

به گزارش زوم ارز، SlowMist از یک روش رمزگذاری گسترده استفاده کرده است که یک آسیب امنیتی مهم ایجاد می‌کند. این نقص می‌تواند به هکرها اجازه دهد تا کلیدهای خصوصی مهندس را در برنامه‌ها که به آن کتابخانه وابسته هستند، بازسازی کنند.

شرکت امنیتی Blockchain SlowMist مشخص کرده است که یک آسیب پذیری امنیتی بسیار خطرناک در کتابخانه رمزگذاری بیضوی جاوا اسکریپت که عمدتاً در کیف پول‌های رمزنگاری شده مانند metamask، کیف پول اعتماد، دفترچه و Trezor استفاده می‌شود، وجود دارد. این آسیب پذیری به مهاجمان اجازه می‌دهد تا با دستکاری ورودی‌های خاص در مراحل امضاء، کلیدهای خصوصی را استخراج کنند. این موضوع ممکن است به آنها کنترل کامل بر دارایی‌های دیجیتال یا اعتبار هویت یک فرد را بدهد. این آسیب پذیری می‌تواند تأثیرات زیانباری بر سیستم‌های تأیید هویت هویت و برنامه‌های کاربردی Web3 داشته باشد.

برای تولید یک امضای دیجیتال با استفاده از الگوریتم امضای دیجیتال منحنی بیضوی، نیاز به سه پارامتر اصلی داریم: پیامی که قرار است امضا شود، کلید خصوصی کاربر و یک شماره تصادفی منحصر به فرد که با K نشان داده می شود. ابتدا پیام هش می‌شود و سپس با استفاده از کلید خصوصی امضا می‌شود. برای اطمینان از این که هر امضا متفاوت باشد حتی اگر همان پیام دوباره امضا شود، اطمینان حاصل می‌شود که شماره تصادفی K هر بار یکتا باشد. این مشکلات بوجود می‌آید که اگر همان شماره تصادفی برای پیام‌های مختلف استفاده شود، مهاجمان می‌توانند از آن بهره ببرند و کلید خصوصی را به خطر بیندازند.

آسیب‌پذیری‌های مشابه در الگوریتم ECDSA در گذشته منجر به نقض امنیتی افراد شده است. به عنوان یک نمونه، در تاریخ ماه ژوئیه ۲۰۲۱، پروتکل Anyswap به خطر افتاد زیرا مهاجمان از امضاهای ضعیف ECDSA بهره‌برداری کردند. این آسیب‌پذیری به آنها امکان جعل امضاها را می‌داد و این امر منجر به سرقت ۸ میلیون دلار از اعتبار پروتکل Anyswap شد.

منبع: