最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- セキュリティ企業SlowMistは、JavaScriptの楕円曲線ライブラリに脆弱性をdentした。.
- この欠陥により、攻撃者はたった 1 回の署名操作で秘密鍵をtracできるようになります。.
- 影響を受けるライブラリは、暗号通貨ウォレットや Web3 アプリケーションで広く使用されています。.
ブロックチェーンセキュリティ企業SlowMistは、広く使用されているJavaScript暗号化ライブラリに、ユーザーの秘密鍵が攻撃者に公開される可能性のある脆弱性をdentた。.
このセキュリティ上の欠陥は、いくつかの暗号通貨ウォレット、dentシステム、Web3アプリケーションに楕円曲線暗号機能を提供する人気の「elliptic」ライブラリに影響を及ぼします。.
SlowMistの 分析、この脆弱性は、ライブラリが署名処理中に非標準入力を適切に処理していないことに起因する。この処理フローにより、ECDSA署名において乱数が重複する可能性がある。これらの署名のセキュリティは、乱数の一意性に完全に依存しているため、重複が発生すると攻撃者は数学maticに秘密鍵を導き出すことができる。
脆弱性により、最小限のやり取りで秘密鍵のtracが可能になる
この欠陥の原因は、楕円関数ライブラリが暗号学者が「k値」と呼ぶ値を生成する方法にあります。これは、異なる署名間で再利用されるべきではない乱数です。SlowMistの分析によると、攻撃者は特定の入力を巧みに作成することで、ライブラリにこの値を再利用させる可能性があります。「kを生成する際、秘密鍵とメッセージがシードとして使用され、異なる入力に対して一意であることが保証されます」とSlowMistのレポートは説明しています。
この欠陥は、被害者とのやり取りが最小限で済むため、危険な攻撃ベクトルとなります。攻撃者は正当な署名を1つ確認するだけで、標的を騙して特別に細工したメッセージに署名させることができます。この2つの署名を比較することで、攻撃者は比較的単純な式を用いて被害者の秘密鍵をmatic的に導出することができます。.
広範な採用により、多くのWeb3アプリケーションが危険にさらされる
JavaScriptコミュニティによる楕円曲線ライブラリの使用は、この脆弱性の潜在的な影響をより大きくしています。SlowMistによると、この脆弱性はバージョン6.6.0までのすべてのバージョンに存在し、様々な楕円曲線を使用するアプリケーションに影響を与えるとのことです。
外部から提供された入力に対してECDSA署名を行うアプリケーションはすべてリスクにさらされています。これには、暗号通貨ウォレット、分散型金融(DI)アプリ、 NFT プラットフォーム、Web3ベースのIDdentアプリなどが含まれる可能性があります。
デジタル通貨分野におけるライブラリの利用には、攻撃対象領域が存在します。秘密鍵が侵害された場合、攻撃者は対応する資産を完全に制御できるようになります。ハッカーは、不正な送金、所有権記録の改ざん、分散型アプリでのユーザーへのなりすましなどを行う可能性があります。.
SlowMistは、セキュリティ脅威を軽減するためのユーザーと開発者向けの緊急提案も公開しています。この脆弱性は最新リリースで正式に修正されているため、開発者はまずEllipticライブラリをバージョン6.6.1以上にアップデートする必要があります。.
SlowMistは、ライブラリの更新に加え、開発者に対しアプリ内にさらなるセキュリティ対策を講じることを推奨しています。影響を受けたアプリユーザーにとって最大の懸念は、秘密鍵が既に危険にさらされている可能性です。SlowMistは、悪意のあるメッセージや未知のメッセージに署名した可能性のあるユーザーは、秘密鍵を交換するなどの予防措置を講じることを推奨しています。.
技術的な脆弱性が注目を集めるようになり、フィッシング攻撃は減少している
SlowMistの調査結果は技術的な脆弱性による脅威を示唆しているものの、Scam Snifferのデータによると、従来型の フィッシング攻撃は 3ヶ月連続で減少している。2025年2月には、7,442人の被害者が532万ドルを失った。これは1月の1,025万ドルから48%減、12月の2,358万ドルから77%減となっている。
🧵 [1/4] 🚨 ScamSniffer 2025年2月フィッシングレポート
2月の損失: 532万ドル | 被害者数 7,442人
1月の損失: 1,025万ドル | 被害者数 9,220人
(前月比 -48%) pic.twitter.com/HsZZSlYKJC— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 2025年3月5日
この下降傾向は明らかですが、依然として非常に強力な攻撃ベクトルがいくつか存在します。ハッカーが正規のウォレットアドレスと視覚的に区別がつかないウォレットアドレスを作成する「許可許可攻撃」は、ETH換算で77万1000ドルという過去最大の損失をもたらしました。.
許可ベースの攻撃は61万1,000ドルの損失でこれに続き、BSCにおける取り消しされていないフィッシング承認による横領金は61万ドルに上りました。IncreaseApprovalエクスプロイトによる攻撃も、32万6,000ドル相当のETHの損失で上位を占めました。.
に参入したい場合は DeFi 暗号通貨 、この無料ビデオから始めてください。
免責事項: 本情報は投資助言ではありません。Cryptopolitan.com Cryptopolitan、 本ページの情報に基づいて行われた投資について一切責任を負いません。投資判断を行う前に、ごtrondentdentdentdentdentdentdentdent で調査を行うか、資格のある専門家にご相談されることを
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)