SlowMistdentuna falla di sicurezza che potrebbe esporre le chiavi private

L'azienda di sicurezza blockchain SlowMist hadentuna vulnerabilità in una libreria crittografica JavaScript ampiamente utilizzata che potrebbe esporre le chiavi private degli utenti agli aggressori.

La falla di sicurezza riguarda la popolare libreria “ellittica” che fornisce funzioni di crittografia a curva ellittica per diversi portafogli di criptovalute, sistemi didente applicazioni Web3.

Secondo l' analisi, la vulnerabilità deriva dalla gestione errata, da parte della libreria, degli input non standard durante le operazioni di firma. Questo flusso può portare alla ripetizione di numeri casuali nelle firme ECDSA. Poiché la sicurezza di queste firme dipende interamente dall'unicità di questi valori casuali, qualsiasi ripetizione consente agli aggressori dimaticla chiave privata.

La vulnerabilità consente l'tracdella chiave privata con un'interazione minima

La causa di questa falla risiede nel modo in cui la libreria ellittica genera quello che i crittografi chiamano "valore k". Si tratta di un numero casuale che non dovrebbe mai essere riutilizzato in firme diverse. L'analisi di SlowMist rivela che gli aggressori possono creare input specifici che inducono la libreria a riutilizzare questo valore. "Quando si genera k, la chiave privata e il messaggio vengono utilizzati come seed per garantire l'univocità in base a input diversi", spiega il rapporto di SlowMist.

Questa falla crea un vettore di attacco pericoloso perché richiede un'interazione minima con le vittime. Un aggressore deve solo osservare una firma legittima e poi ingannare la vittima inducendola a firmare un messaggio appositamente creato. Confrontando queste due firme, l'aggressore può ricavarematicla chiave privata della vittima utilizzando una formula relativamente semplice.

L'adozione diffusa mette a rischio numerose applicazioni Web3

L'utilizzo della libreria ellittica da parte della comunità JavaScript aumenta il potenziale impatto della vulnerabilità. SlowMist indica che la vulnerabilità è presente in tutte le versioni fino alla 6.6.0 e colpisce le applicazioni che utilizzano diverse curve ellittiche.

Qualsiasi applicazione che esegua firme ECDSA su input forniti esternamente è a rischio. Tra queste rientrano i wallet di criptovalute, le app di finanza decentralizzata, NFT edent.

L'utilizzo di librerie nel settore delle valute digitali presenta una superficie di attacco. Se la chiave privata viene compromessa, gli aggressori acquisiscono il pieno controllo delle risorse corrispondenti. Gli hacker possono eseguire trasferimenti non autorizzati, alterare i record di proprietà o impersonare utenti in app decentralizzate.

SlowMist ha anche pubblicato alcuni suggerimenti di emergenza per utenti e sviluppatori per mitigare la minaccia alla sicurezza. Gli sviluppatori dovrebbero innanzitutto aggiornare la libreria ellittica alla versione 6.6.1 o successiva, poiché la vulnerabilità è stata ufficialmente risolta nella versione più recente.

Oltre ad aggiornare la libreria, SlowMist raccomanda agli sviluppatori di includere ulteriori misure di sicurezza nelle proprie app. Per gli utenti delle app interessate, la preoccupazione principale è che le loro chiavi private non siano già a rischio. SlowMist raccomanda agli utenti che potrebbero aver firmato messaggi dannosi o sconosciuti di prendere la precauzione di sostituire le proprie chiavi private.

Gli attacchi di phishing diminuiscono mentre le vulnerabilità tecniche diventano centrali

Sebbene la scoperta di SlowMist indichi minacce derivanti da vulnerabilità tecnologiche, i dati di Scam Sniffer mostrano che gli attacchi di phishing sono diminuiti per tre mesi consecutivi. A febbraio 2025, 7.442 vittime hanno perso 5,32 milioni di dollari. Ciò rappresenta un calo del 48% rispetto ai 10,25 milioni di dollari di gennaio e un calo del 77% rispetto ai 23,58 milioni di dollari di dicembre.

🧵 [1/4] 🚨 Rapporto di phishing di ScamSniffer di febbraio 2025

Perdite di febbraio: 5,32 milioni di dollari | 7.442 vittime
Perdite di gennaio: 10,25 milioni di dollari | 9.220 vittime
(-48% su base mensile) pic.twitter.com/HsZZSlYKJC

— Rilevatore di truffe | Web3 Anti-Scam (@realScamSniffer) 5 marzo 2025

Sebbene questa tendenza al ribasso sia evidente, diversi vettori di attacco sono ancora estremamente potenti. Gli attacchi "Permit Allowance", in cui gli hacker creano indirizzi wallet visivamente indistinguibili da quelli legittimi, hanno causato la perdita singola più elevata, pari a 771.000 dollari in ETH.

Gli attacchi basati su permessi sono stati subito dietro, con perdite pari a 611.000 dollari, seguiti dalle approvazioni di phishing non revocate su BSC per un valore di 610.000 dollari in fondi sottratti. Gli exploit IncreaseApproval hanno completato i principali vettori di attacco, con perdite pari a 326.000 dollari in ETH.