A empresa de segurança blockchain SlowMistdentuma vulnerabilidade em uma biblioteca criptográfica JavaScript amplamente utilizada, que poderia expor as chaves privadas dos usuários a atacantes.
A falha de segurança afeta a popular biblioteca "elliptic", que fornece funções de criptografia de curva elíptica para diversas carteiras de criptomoedas, sistemas dedente aplicações Web3.
De acordo com a análise , a vulnerabilidade reside no tratamento inadequado de entradas não padronizadas pela biblioteca durante as operações de assinatura. Esse fluxo pode levar à repetição de números aleatórios em assinaturas ECDSA. Como a segurança dessas assinaturas depende inteiramente da unicidade desses valores aleatórios, qualquer repetição permite que atacantes matic a chave privada.
A vulnerabilidade permite atracda chave privada com interação mínima
A falha reside na forma como a biblioteca elíptica gera o que os criptógrafos chamam de "valor k". Trata-se de um número aleatório que nunca deve ser reutilizado em diferentes assinaturas. A análise da SlowMist revela que os atacantes podem criar entradas específicas que enganam a biblioteca, fazendo-a reutilizar esse valor. "Ao gerar o valor k, a chave privada e a mensagem são usadas como sementes para garantir a unicidade sob diferentes entradas", explica o relatório da SlowMist.
Essa falha cria um vetor de ataque perigoso porque requer interação mínima com as vítimas. Um atacante precisa apenas observar uma assinatura legítima e, em seguida, enganar o alvo para que assine uma mensagem especialmente criada. Comparando essas duas assinaturas, o atacante pode derivarmatica chave privada da vítima usando uma fórmula relativamente simples.
A adoção generalizada coloca inúmeras aplicações Web3 em risco
O uso da biblioteca elliptic pela comunidade JavaScript aumenta o impacto potencial da vulnerabilidade. A SlowMist indica que a vulnerabilidade está presente em todas as versões até a 6.6.0 e afeta aplicações que utilizam diversas curvas elípticas.
Qualquer aplicação que utilize assinaturas ECDSA em dados fornecidos externamente está em risco. Isso pode incluir carteiras de criptomoedas, aplicativos de finanças descentralizadas, NFT e aplicativos de autenticação de identidade baseados na dent .
A utilização de bibliotecas no espaço das moedas digitais apresenta uma superfície de ataque. Se a chave privada for comprometida, os atacantes passam a ter controle total sobre os ativos correspondentes. Os hackers podem realizar transferências não autorizadas, alterar registros de propriedade ou se passar por usuários em aplicativos descentralizados.
A SlowMist também publicou algumas sugestões de emergência para usuários e desenvolvedores a fim de mitigar a ameaça à segurança. Os desenvolvedores devem, em primeiro lugar, atualizar a biblioteca elliptic para a versão 6.6.1 ou superior, visto que a vulnerabilidade foi oficialmente corrigida na versão mais recente.
Além de atualizar a biblioteca, a SlowMist recomenda que os desenvolvedores incluam precauções de segurança adicionais em seus aplicativos. Para os usuários afetados, a maior preocupação é se suas chaves privadas já podem estar em risco. A SlowMist recomenda que os usuários que possivelmente assinaram mensagens maliciosas ou desconhecidas tomem a precaução de substituir suas chaves privadas.
Os ataques de phishing diminuem à medida que as vulnerabilidades técnicas ganham destaque
Embora a descoberta da SlowMist indique ameaças provenientes de vulnerabilidades tecnológicas, os dados da Scam Sniffer mostram que os ataques de phishing diminuíram pelo terceiro mês consecutivo. Em fevereiro de 2025, 7.442 vítimas perderam US$ 5,32 milhões. Isso representa uma queda de 48% em relação aos US$ 10,25 milhões de janeiro e de 77% em relação aos US$ 23,58 milhões de dezembro.
🧵 [1/4] 🚨 Relatório de Phishing do ScamSniffer - Fevereiro de 2025
Prejuízos em fevereiro: US$ 5,32 milhões | 7.442 vítimas
Prejuízos em janeiro: US$ 10,25 milhões | 9.220 vítimas
(-48% em relação ao mês anterior) pic.twitter.com/HsZZSlYKJC— Detector de Fraudes | Web3 Anti-Fraudes (@realScamSniffer) 5 de março de 2025
Embora essa tendência de queda seja evidente, diversos vetores de ataque ainda são extremamente potentes. Ataques de permissão, nos quais hackers criam endereços de carteira visualmente indistinguíveis dos legítimos, resultaram na maior perda individual, equivalente a US$ 771.000 em ETH.
Os ataques baseados em permissões ficaram logo em seguida, com perdas de US$ 611.000, seguidos por aprovações de phishing não revogadas no BSC, totalizando US$ 610.000 em fundos desviados. As explorações da vulnerabilidade IncreaseApproval completaram a lista dos principais vetores de ataque, com perdas de US$ 326.000 em ETH.
