Nové výzkumné zjištění odhalilo zranitelnosti v nové třídě podpisu Bitcoin Elliptic Curve Digital Signature Algorithm (ECDSA), které subjekty od roku 2015 používají ke krádeži finančních prostředků od nic netušících uživatelů, přičemž v průběhu let prošly 222 bitcoiny (BTC).

Odhalena slabina bitcoinových podpisů ECDSA

Studie, jejíž závěry byly zveřejněny 9. června, ukazuje, že chyby ve vlastních podpisech ECDSA mohou odhalit soukromé klíče odesílatele a dokonce značně odhalit nejen skutečnou identitu odesílatele, ale také jejich příslušné adresy, zejména pokud je odesílatel online.

Mohlo by se vám také líbit: Texaský zákonodárný sbor schválil nové zákony o těžbě bitcoinů

Výzkumníci objevili nový způsob, jak zneužít zranitelnost ve způsobu vytváření podpisů ECDSA v Bitcoinu. Slabost nastává, když je „číslo podpisu generováno zřetězením poloviny bitů hashe zprávy s polovinou bitů tajného podpisového klíče“. Tímto způsobem může útočník vytvářet falešné podpisy ECDSA, které se zdají být platné.

Vědci uvedli, že útočník by mohl pro provedení tohoto „útoku založeného na mřížce“ získat soukromé klíče ECDSA odesílatele, pouze pokud by znal nonce použité k vygenerování jediného podpisu. Nonce v Bitcoinu je jedinečné, náhodné číslo generované těžařem, které se používá k vytvoření hashe. Tento hash splňuje požadavky Bitcoinu na obtížnost při ověřování bloku transakcí bitcoinů (BTC), čímž zabraňuje podvodům a dvojímu utrácení.

Dotčeno přibližně 90 000 vlastních podpisů

Podpis ECDSA je algoritmický algoritmus, který se používá k podepisování transakcí. V blockchainu Bitcoinu musí všichni držitelé soukromých klíčů, tedy vlastníci bitcoinu (BTC), podepsat transakce a ověřit si, že jsou jejich vlastníky, než jsou tyto transakce v řetězci zpracovány.

Podpis ECDSA nezbytný ke schválení transakcí se vytváří pomocí soukromého a veřejného klíče odesílatele. Tento algoritmus podpisu ECDSA je klíčový pro zajištění toho, aby skutečným vlastníkem mince byl pouze odesílatel. Zároveň chrání před dvojím utrácením a podvody.

Nové zjištění odhaluje, že vlastní podpisy ECDSA v blockchainové síti jsou zranitelné a mohou vést k úniku finančních prostředků, skutečných identit a polohy odesílatele. Během vyšetřování bylo identifikováno téměř 90 000 zranitelných vlastních podpisů ECDSA. Ty byly vytvořeny 900 různými adresami, které od té doby přesunuly 222 BTC.

Čtěte více: Bývalý manažer společnosti Meta a PayPal buduje platební řešení na síti Bitcoin Lightning Network