La società di sicurezza blockchain SlowMist hadentuna vulnerabilità in una libreria crittografica JavaScript ampiamente utilizzata che potrebbe esporre le chiavi private degli utenti agli aggressori.
Il difetto di sicurezza influisce sulla popolare libreria "ellittica" che fornisce funzioni di crittografia della curva ellittica per diversi portafogli di criptovaluta, sistemidente applicazioni Web3.
Secondo l'analisi , la vulnerabilità deriva dalla gestione imperfetta della biblioteca di input non standard durante le operazioni di firma. Questo flusso può portare a numeri casuali ripetuti nelle firme ECDSA. Poiché la sicurezza di queste firme dipende interamente dall'unicità di questi valori casuali, qualsiasi ripetizione consente agli aggressori di fare il tratto matico di Mathe matic Deriva la chiave privata.
La vulnerabilità consente unatracchiave privata con una minima interazione
Il motivo del difetto è nel modo in cui la libreria ellittica genera ciò che i crittografi chiamano il "valore k". Questo è un numero casuale che non dovrebbe mai essere riutilizzato in diverse firme. L'analisi di SlowMist rivela che gli aggressori possono creare input specifici che inducono la biblioteca a riutilizzare questo valore. "Quando si generano K, la chiave privata e il messaggio vengono utilizzati come semi per garantire unicità sotto diversi input", spiega il rapporto di SlowMist.
Questo difetto crea un pericoloso vettore di attacco perché ha bisogno di una minima interazione con le vittime. Un aggressore deve solo osservare una firma legittima e quindi indurre il bersaglio a firmare un messaggio appositamente realizzato. Confrontando queste due firme, l'attaccante può MathematicAlly derivare la chiave privata della vittima usando una formula relativamente semplice.
L'adozione diffusa mette a rischio numerose applicazioni Web3
L'uso della biblioteca ellittica da parte della comunità JavaScript rende maggiore il potenziale impatto della vulnerabilità. SlowMist indica che la vulnerabilità è presente in tutte le versioni fino a 6.6.0 e influisce sulle applicazioni utilizzando varie curve ellittiche.
Qualsiasi applicazione che effettua le firme ECDSA sull'input fornito esternamente è a rischio. Ciò potrebbe includere portafogli di criptovaluta, app finanziarie decentralizzate, NFT e app di autenticazione basate su dent .
L'utilizzo della biblioteca nello spazio di valuta digitale viene fornito con una superficie di attacco. Se la chiave privata è compromessa, gli aggressori hanno il pieno controllo sulle risorse corrispondenti. Gli hacker possono eseguire trasferimenti non autorizzati, modificare i record di proprietà o impersonare gli utenti in app decentralizzate.
SlowMist ha anche pubblicato alcuni suggerimenti di emergenza per gli utenti e gli sviluppatori per mitigare la minaccia della sicurezza. Gli sviluppatori dovrebbero prima aggiornare la libreria Elliptic alla versione 6.6.1 o superiore da quando la vulnerabilità è stata affrontata ufficialmente nella versione più recente.
Oltre a rinfrescare la biblioteca, SlowMist raccomanda agli sviluppatori di includere ulteriori precauzioni di sicurezza all'interno delle loro app. Per gli utenti di app interessati, la più grande preoccupazione è se le loro chiavi private potrebbero già essere a rischio. SlowMist raccomanda agli utenti che probabilmente hanno firmato messaggi dannosi o sconosciuti dovrebbero prendere la precauzione della sostituzione delle loro chiavi private.
Gli attacchi di phishing si attenuano come vulnerabilità tecniche sono al centro della scena
Sebbene la scoperta di SlowMist indichi le minacce delle vulnerabilità tecnologiche, le cifre di Scam Sniffer indicano che gli attacchi di phishing sono diminuiti per tre mesi consecutivi. Nel febbraio 2025, $ 5,32 milioni furono persi da 7.442 vittime. Ciò rappresenta un calo del 48% da $ 10,25 milioni di gennaio e un calo del 77% dai $ 23,58 milioni di dicembre.
🧵 [1/4] 🚨 SCAMSNIFFER REPORTO PHIGHI
Perdite di febbraio: $ 5,32 milioni | 7.442 vittime
perdite di gennaio: $ 10,25 milioni | 9.220 vittime
(-48% mom) pic.twitter.com/hszzslykjc- SCAM SNIFFER | Web3 Anti-Scam (@RealScamsniffer) 5 marzo 2025
Mentre questa tendenza al ribasso è evidente, un certo numero di vettori di attacco sono ancora estremamente potenti. Attacchi di indennità di autorizzazione in cui gli hacker creano indirizzi di portafoglio che sono visivamente indistinguibili da quelli legittimi, hanno provocato la più alta perdita singola per un valore di $ 771.000 in ETH.
Gli attacchi basati sui permesso sono stati vicini con perdite di $ 611.000, seguite da approvazioni di phishing non revocate su BSC per un valore di $ 610.000 in fondi appropriati. Exploit aumentati di emergenza ha completato i migliori vettori di attacco con perdite per un valore di $ 326.000 in ETH.
Cryptolitan Academy: stanco delle oscillazioni del mercato? Scopri come DeFi può aiutarti a costruire un reddito passivo costante. Registrati ora
