Zidentyfikowano 8-letnią lukę w zabezpieczeniach wpływającą na proces podpisywania Bitcoinów, ponad 900 adresów jest dotkniętych

Nowe wyniki badań wskazały luki w zabezpieczeniach nowej klasy algorytmu podpisu cyfrowego ECDSA (Bitcoin Elliptic Curve Digital Signature Algorithm), którego podmioty od 2015 r. używają do kradzieży środków od niczego niepodejrzewających użytkowników, ukradnąc na przestrzeni lat ponad 222 bitcoiny (BTC).

Odkryto słabość w podpisach ECDSA Bitcoina

Badanie, którego wyniki opublikowano 9 czerwca, pokazuje, że wady w niestandardowych podpisach ECDSA mogą ujawnić klucze prywatne nadawcy, a nawet w dużym stopniu ujawnić nie tylko prawdziwą tożsamość nadawcy, ale także jego adresy, zwłaszcza jeśli nadawca jest online.

Możesz również polubić: Legislatura Teksasu uchwala nowe przepisy dotyczące wydobycia bitcoinów

Badacze znaleźli nowy sposób na wykorzystanie luki w sposobie tworzenia podpisów ECDSA w Bitcoinie. Słabość występuje, gdy „nonce podpisu jest generowany przez połączenie połowy bitów hasha wiadomości z połową bitów tajnego klucza podpisującego”. W ten sposób atakujący może przystąpić do tworzenia fałszywych podpisów ECDSA, które wydają się być ważne.

Aby wykonać ten „atak oparty na kratkach”, badacze stwierdzili, że atakujący mógłby odzyskać prywatne klucze ECDSA nadawcy tylko wtedy, gdy znał nonce użyty do wygenerowania pojedynczego podpisu. Nonce w Bitcoinie to unikalna, losowa liczba generowana przez górnika, która jest używana do tworzenia hasha. Ten hash spełnia wymagania dotyczące trudności Bitcoina podczas weryfikacji bloku transakcji bitcoin (BTC), zapobiegając oszustwom i podwójnemu wydawaniu.

Około 90 000 niestandardowych podpisów zostało dotkniętych

Podpis ECDSA to algorytm, który jest używany do podpisywania transakcji. W blockchainie Bitcoina wszyscy właściciele kluczy prywatnych, to znaczy właściciele bitcoinów (BTC), muszą podpisywać transakcje, weryfikując, że są właścicielami, zanim te transakcje zostaną przetworzone w łańcuchu.

Podpis ECDSA niezbędny do zatwierdzenia transakcji jest tworzony przy użyciu prywatnych i publicznych kluczy nadawcy. Ten algorytm podpisu ECDSA jest kluczowy dla zapewnienia, że tylko nadawca monety jest prawdziwym właścicielem. Jednocześnie chroni przed podwójnym wydawaniem i oszustwem.

Nowe odkrycie ujawnia, że niestandardowe podpisy ECDSA w sieci blockchain są podatne i mogą ujawniać środki, prawdziwe tożsamości i lokalizację nadawcy. Podczas dochodzenia zidentyfikowano prawie 90 000 podatnych niestandardowych podpisów ECDSA. Zostały one stworzone przez 900 różnych adresów, które od tego czasu przeniosły 222 BTC.

Czytaj więcej: Były dyrektor Meta, PayPal buduje rozwiązanie płatnicze na sieci Bitcoin Lightning