La firma de seguridad de blockchain SlowMist hadentque una vulnerabilidad en una biblioteca criptográfica JavaScript ampliamente utilizada que podría exponer las claves privadas de los usuarios a los atacantes.
El defecto de seguridad afecta la popular biblioteca "elíptica" que proporciona funciones de criptografía de curva elíptica para varias billeteras de criptomonedas, sistemasdenty aplicaciones web3.
Según el análisis , la vulnerabilidad proviene del manejo defectuoso de la biblioteca de entradas no estándar durante las operaciones de firma. Este flujo puede conducir a números aleatorios repetidos en las firmas de ECDSA. Dado que la seguridad de estas firmas depende completamente de la singularidad de estos valores aleatorios, cualquier repetición permite a los atacantes a Mate matic Ally derivan la clave privada.
La vulnerabilidad permite unatracde clave privada con una interacción mínima
La razón de la falla es en cómo genera la biblioteca elíptica lo que los criptógrafos llaman el "valor k". Este es un número aleatorio que nunca debe reutilizarse en diferentes firmas. El análisis de SlowMist revela que los atacantes pueden crear entradas específicas que engañen a la biblioteca para que reutilice este valor. "Al generar K, la clave y el mensaje privado se usan como semillas para garantizar la singularidad bajo diferentes entradas", explica el informe de SlowMist.
Este defecto crea un vector de ataque peligroso porque necesita una interacción mínima con las víctimas. Un atacante solo necesita observar una firma legítima y luego engañar al objetivo para que firme un mensaje especialmente elaborado. Al comparar estas dos firmas, el atacante puede MathematicAlly derivar la clave privada de la víctima utilizando una fórmula relativamente simple.
La adopción generalizada pone en riesgo numerosas aplicaciones Web3
El uso de la biblioteca elíptica por parte de la comunidad JavaScript hace que el impacto potencial de la vulnerabilidad sea mayor. SlowMist indica que la vulnerabilidad está presente en todas las versiones de hasta 6.6.0 y afecta las aplicaciones utilizando varias curvas elípticas.
Cualquier aplicación que realice firmas de ECDSA sobre la entrada suministrada externamente está en riesgo. Esto podría incluir billeteras de criptomonedas, aplicaciones de finanzas descentralizadas, NFT y aplicaciones de autenticación basadas en dent .
La utilización de la biblioteca en el espacio de moneda digital viene con una superficie de ataque. Si la clave privada se ve comprometida, los atacantes tienen control total sobre los activos correspondientes. Los piratas informáticos pueden realizar transferencias no autorizadas, alterar registros de propiedad o hacerse pasar por usuarios en aplicaciones descentralizadas.
SlowMist también ha publicado algunas sugerencias de emergencia para que los usuarios y desarrolladores mitigen la amenaza de seguridad. Los desarrolladores deben actualizar la biblioteca elíptica a la versión 6.6.1 o superior, ya que la vulnerabilidad se ha abordado oficialmente en la versión más reciente.
Además de actualizar la biblioteca, SlowMist recomienda que los desarrolladores incluyan más precauciones de seguridad dentro de sus aplicaciones. Para los usuarios de la aplicación afectados, la mayor preocupación es si sus claves privadas ya podrían estar en riesgo. SlowMist recomienda que los usuarios que posiblemente hayan firmado mensajes maliciosos o desconocidos tengan la precaución de reemplazar sus claves privadas.
Los ataques de phishing se reducen a medida que las vulnerabilidades técnicas toman el centro del escenario
Aunque el hallazgo de SlowMist indica amenazas de las vulnerabilidades tecnológicas, las cifras de Scam Sniffer indican que los ataques de phishing han disminuido durante tres meses consecutivos. En febrero de 2025, 7.442 víctimas perdieron $ 5.32 millones. Esto representa una caída del 48% de los $ 10.25 millones de enero y una caída del 77% de los $ 23.58 millones de diciembre.
🧵 [1/4] 🚨 Scamsniffer Febrero 2025 Informe de phishing
Pérdidas de febrero: $ 5.32M | 7,442 Víctimas
Pérdidas de enero: $ 10.25M | 9,220 víctimas
(-48% mamá) pic.twitter.com/hszzslykjc- Scam Sniffer | Web3 Anti-Scam (@RealScamsniffer) 5 de marzo de 2025
Si bien esta tendencia descendente es evidente, varios vectores de ataque siguen siendo extremadamente potentes. Los ataques de asignación de permisos donde los piratas informáticos crean direcciones de billetera que son visualmente indistinguibles de los legítimos, dieron como resultado la pérdida individual más alta por valor de $ 771,000 en ETH.
Los ataques basados en permisos estuvieron muy cerca con $ 611,000 en pérdidas, seguidos de aprobaciones de phishing no revocadas en BSC por valor de $ 610,000 en fondos malversados. Las exploits de aumento del aumento completaron los vectores de ataque principales con pérdidas por valor de $ 326,000 en ETH.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprenda cómo hacerlo con DeFi en nuestra próxima clase web. Guarda tu lugar
