SlowMist adentune faille de sécurité qui pourrait exposer des clés privées

La société de sécurité blockchain SlowMist adentune vulnérabilité dans une bibliothèque cryptographique JavaScript largement utilisée, qui pourrait exposer les clés privées des utilisateurs à des attaquants.

Cette faille de sécurité affecte la bibliothèque « elliptique » populaire qui fournit des fonctions de cryptographie à courbe elliptique pour plusieurs portefeuilles de cryptomonnaies, systèmes d'dentet applications Web3.

D'après l'analyse, la vulnérabilité provient d'une gestion défectueuse des entrées non standard lors des opérations de signature. Ce processus peut entraîner la présence de nombres aléatoires répétés dans les signatures ECDSA. La sécurité de ces signatures reposant entièrement sur l'unicité de ces valeurs aléatoires, toute répétition permet à un attaquant dematicla clé privée.

Une vulnérabilité permet l'tracde la clé privée avec une interaction minimale

La faille provient de la manière dont la bibliothèque elliptique génère ce que les cryptographes appellent la « valeur k ». Il s'agit d'un nombre aléatoire qui ne devrait jamais être réutilisé pour différentes signatures. L'analyse de SlowMist révèle que des attaquants peuvent concevoir des entrées spécifiques permettant de tromper la bibliothèque et de l'amener à réutiliser cette valeur. « Lors de la génération de k, la clé privée et le message servent de germes pour garantir l'unicité de la valeur pour différentes entrées », explique le rapport de SlowMist.

Cette faille constitue un vecteur d'attaque dangereux car elle nécessite une interaction minimale avec la victime. Un attaquant n'a besoin que d'observer une signature légitime, puis de tromper la cible en lui faisant signer un message spécialement conçu. En comparant ces deux signatures, l'attaquant peut déduirematicla clé privée de la victime à l'aide d'une formule relativement simple.

L'adoption généralisée met en danger de nombreuses applications Web3

L'utilisation de la bibliothèque elliptique par la communauté JavaScript amplifie l'impact potentiel de cette vulnérabilité. SlowMist indique que cette vulnérabilité est présente dans toutes les versions jusqu'à la version 6.6.0 et affecte les applications utilisant diverses courbes elliptiques.

Toute application effectuant des signatures ECDSA sur des données externes est vulnérable. Cela peut inclure les portefeuilles de cryptomonnaies, les applications de finance décentralisée, NFT et les applications d'authentification d'identité basées sur ledent.

L'utilisation de bibliothèques dans l'écosystème des cryptomonnaies présente une surface d'attaque. Si la clé privée est compromise, les attaquants obtiennent alors un contrôle total sur les actifs correspondants. Les pirates peuvent effectuer des transferts non autorisés, modifier les registres de propriété ou usurper l'identité des utilisateurs dans les applications décentralisées.

SlowMist a également publié des recommandations d'urgence à destination des utilisateurs et des développeurs afin d'atténuer cette faille de sécurité. Les développeurs doivent en premier lieu mettre à jour la bibliothèque elliptique vers la version 6.6.1 ou une version ultérieure, car la vulnérabilité a été officiellement corrigée dans la dernière version.

Outre la mise à jour de la bibliothèque, SlowMist recommande aux développeurs d'intégrer des mesures de sécurité supplémentaires à leurs applications. Pour les utilisateurs concernés, la principale préoccupation est de savoir si leurs clés privées sont déjà compromises. SlowMist recommande aux utilisateurs ayant potentiellement signé des messages malveillants ou inconnus de remplacer leurs clés privées par précaution.

Les attaques de phishing diminuent à mesure que les vulnérabilités techniques prennent le devant de la scène

Bien que les conclusions de SlowMist mettent en évidence des menaces liées à des failles technologiques, les chiffres de Scam Sniffer indiquent une des attaques de phishing pendant trois mois consécutifs. En février 2025, 7 442 victimes ont perdu 5,32 millions de dollars. Cela représente une diminution de 48 % par rapport aux 10,25 millions de dollars de janvier et de 77 % par rapport aux 23,58 millions de dollars de décembre.

🧵 [1/4] 🚨 Rapport d'hameçonnage de ScamSniffer - Février 2025

Pertes de février : 5,32 M$ | 7 442 victimes
Pertes de janvier : 10,25 M$ | 9 220 victimes
(-48 % par rapport au mois précédent) pic.twitter.com/HsZZSlYKJC

— Détecteur d'arnaques | Web3 Anti-arnaques (@realScamSniffer) 5 mars 2025

Bien que cette tendance à la baisse soit manifeste, plusieurs vecteurs d'attaque restent extrêmement efficaces. Les attaques par autorisation d'accès, où les pirates créent des adresses de portefeuille visuellement indiscernables des adresses légitimes, ont entraîné la perte la plus importante, s'élevant à 771 000 $ en ETH.

Les attaques par obtention de permis ont rapidement suivi, avec des pertes s'élevant à 611 000 $, puis les approbations de phishing non révoquées sur BSC, représentant 610 000 $ de fonds détournés. Les exploits de la faille IncreaseApproval complètent le classement des principaux vecteurs d'attaque, avec des pertes de 326 000 $ en ETH.