I ricercatori di sicurezza hanno scoperto un nuovo metodo inquietante che gli hacker possono utilizzare per estrarre le chiavi private da un portafoglio hardware Bitcoin anche con solo due transazioni firmate, che hanno chiamato "Dark Skippy".
La vulnerabilità può potenzialmente interessare tutti i modelli di portafoglio hardware, ma può funzionare solo se l'aggressore induce la vittima a scaricare un firmware dannoso.
Una versione precedente del metodo richiedeva alla vittima di pubblicare "decine" di transazioni sulla blockchain. Ma la nuova versione "Dark Skippy" può essere eseguita anche se la vittima pubblica solo un paio di transazioni sulla blockchain. Inoltre, l'attacco può essere eseguito anche se l'utente si affida a un dispositivo separato per generare seed word.
Il rapporto informativo è stato pubblicato da Lloyd Fournier, Nick Farrow e Robin Linus il 5 agosto. Fournier e Farrow sono co-fondatori del produttore di portafogli hardware Frostsnap, mentre Linus è uno dei co-sviluppatori dei protocolli Bitcoin ZeroSync e BitVM.
Secondo il rapporto, il firmware di un portafoglio hardware può essere programmato per incorporare parti delle seed word dell'utente in "low entropy secret nonce" che vengono poi utilizzate per firmare le transazioni. Le firme risultanti vengono pubblicate sulla blockchain quando le transazioni vengono confermate. L'attaccante può quindi scansionare la blockchain per trovare e registrare queste firme.
Le firme risultanti contengono solo "nonce pubblici", non le porzioni delle parole seed stesse. Tuttavia, l'attaccante può immettere queste nonce pubbliche nell'algoritmo Kangaroo di Pollard per calcolare con successo le nonce segrete dalle loro versioni pubbliche.
L'algoritmo canguro di Pollard, scoperto dal matematico John M. Pollard, è un algoritmo di algebra computazionale che può essere utilizzato per risolvere il problema del logaritmo discreto.
Secondo i ricercatori, l'intero set di parole seme di un utente può essere derivato utilizzando questo metodo, anche se l'utente produce solo due firme dal suo dispositivo compromesso e anche se le parole seme sono state prodotte su un dispositivo separato.
Correlati: Svelata una vulnerabilità importante del portafoglio mentre l'utente recupera a malapena 9 BTC
Versioni precedenti della vulnerabilità sono state documentate in passato, hanno affermato i ricercatori. Tuttavia, queste vecchie versioni si basavano sul "nonce grinding", un processo molto più lento che richiedeva che molte più transazioni venissero pubblicate sulla blockchain. Nonostante ciò, i ricercatori si sono fermati prima di definire Dark Skippy una nuova vulnerabilità, affermando invece che si tratta di "un nuovo modo di sfruttare una vulnerabilità esistente".
Per mitigare la minaccia, il rapporto suggerisce che i produttori di portafogli hardware dovrebbero prestare particolare attenzione a impedire che firmware dannosi entrino nei dispositivi degli utenti, cosa che possono fare tramite funzionalità come "avvio sicuro e interfacce JTAG/SWD bloccate [...] build di firmware riproducibili e firmate dal fornitore[,...] [e] varie altre funzionalità di sicurezza". Inoltre, suggerisce che i proprietari di portafogli potrebbero voler impiegare pratiche per mantenere i loro dispositivi al sicuro, tra cui "posti segreti, casseforti personali o forse anche borse antimanomissione", sebbene il rapporto suggerisca anche che queste pratiche potrebbero essere "macchinose".
Un altro suggerimento fornito è che il software del portafoglio utilizzi protocolli di firma "anti-esfiltrazione", che impediscono al portafoglio hardware di produrre nonce autonomamente.
Le vulnerabilità dei portafogli Bitcoin hanno causato perdite significative agli utenti in passato. Ad agosto 2023, la società di sicurezza informatica Slowmist ha segnalato che oltre 900.000 $ di Bitcoin erano stati rubati tramite una falla nella libreria di Libbitcoin explorer. A novembre, Unciphered ha segnalato che 2,1 miliardi di $ di Bitcoin conservati in vecchi portafogli potrebbero essere a rischio di essere prosciugati dagli aggressori a causa di una falla nel software del portafoglio BitcoinJS.
Rivista: truffa "Elon Musk a Bitcoin 2024", hack del gruppo Lazarus, phishing MOG: Crypto-Sec
