SlowMistdentуязвимость в системе безопасности, которая может привести к раскрытию закрытых ключей

Компания SlowMist, специализирующаяся на безопасности блокчейна,dentуязвимость в широко используемой криптографической библиотеке JavaScript, которая может раскрыть закрытые ключи пользователей злоумышленникам.

Уязвимость в системе безопасности затрагивает популярную библиотеку «elliptic», которая предоставляет криптографические функции на основе эллиптических кривых для ряда криптовалютных кошельков, системdentи приложений Web3.

SlowMist анализу, уязвимость возникает из-за некорректной обработки библиотекой нестандартных входных данных во время операций подписи. Это может привести к повторению случайных чисел в подписях ECDSA. Поскольку безопасность этих подписей полностью зависит от уникальности этих случайных значений, любое повторение позволяет злоумышленникам математическиmaticзакрытый ключ.

Уязвимость позволяетtracзакрытый ключ с минимальным участием пользователя

Причина уязвимости кроется в том, как эллиптическая библиотека генерирует то, что криптографы называют «значением k». Это случайное число, которое никогда не должно использоваться повторно в разных подписях. Анализ SlowMist показывает, что злоумышленники могут создавать специальные входные данные, которые обманывают библиотеку, заставляя её повторно использовать это значение. «При генерации k закрытый ключ и сообщение используются в качестве начальных значений для обеспечения уникальности при различных входных данных», — поясняется в отчете SlowMist.

Эта уязвимость создает опасный вектор атаки, поскольку требует минимального взаимодействия с жертвами. Злоумышленнику достаточно увидеть одну легитимную подпись, а затем обманом заставить жертву подписать специально созданное сообщение. Сравнив эти две подписи, злоумышленник можетmaticполучить закрытый ключ жертвы, используя относительно простую формулу.

Широкое распространение ставит под угрозу множество приложений Web3

Использование библиотеки эллиптических кривых сообществом JavaScript значительно увеличивает потенциальный риск, связанный с этой уязвимостью. SlowMist указывает на наличие уязвимости во всех версиях до 6.6.0 включительно и затрагивает приложения, использующие различные эллиптические кривые.

Любое приложение, использующее подписи ECDSA на основе внешних входных данных, подвержено риску. К таким приложениям относятся криптовалютные кошельки, децентрализованные финансовые приложения, NFT- платформы и приложения для аутентификации личности на основеdent.

Использование библиотек в пространстве цифровых валют сопряжено с потенциальной угрозой. Если закрытый ключ скомпрометирован, злоумышленники получают полный контроль над соответствующими активами. Хакеры могут совершать несанкционированные переводы, изменять записи о владельце или выдавать себя за пользователей в децентрализованных приложениях.

Компания SlowMist также опубликовала ряд экстренных рекомендаций для пользователей и разработчиков по снижению угрозы безопасности. Разработчикам следует в первую очередь обновить библиотеку Elliptic до версии 6.6.1 или выше, поскольку уязвимость была официально устранена в последнем релизе.

Помимо обновления библиотеки, SlowMist рекомендует разработчикам включить в свои приложения дополнительные меры безопасности. Для пользователей затронутых приложений наибольшую обеспокоенность вызывает вопрос о том, не находятся ли их закрытые ключи уже под угрозой. SlowMist рекомендует пользователям, которые, возможно, подписали вредоносные или неизвестные сообщения, принять меры предосторожности и заменить свои закрытые ключи.

Фишинговые атаки идут на спад, поскольку технические уязвимости выходят на первый план

Хотя данные SlowMist указывают на угрозы, связанные с технологическими уязвимостями, статистика Scam Sniffer свидетельствует о снижении количества обычных фишинговых атак на протяжении трех месяцев подряд. В феврале 2025 года 7442 жертвы потеряли 5,32 миллиона долларов. Это на 48% меньше, чем в январе (10,25 миллиона долларов), и на 77% меньше, чем в декабре (23,58 миллиона долларов).

🧵 [1/4] 🚨 Отчет ScamSniffer о фишинге за февраль 2025 года

Убытки в феврале: 5,32 млн долларов | 7442 пострадавших.
Убытки в январе: 10,25 млн долларов | 9220 пострадавших
(-48% по сравнению с предыдущим месяцем). pic.twitter.com/HsZZSlYKJC

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5 марта 2025 г.

Хотя эта тенденция к снижению очевидна, ряд методов атак по-прежнему чрезвычайно эффективны. Атаки с использованием разрешений, когда хакеры создают адреса кошельков, визуально неотличимые от легитимных, привели к самым крупным единовременным убыткам в размере 771 000 долларов США в ETH.

Атаки с использованием разрешений заняли второе место с убытками в размере 611 000 долларов, за ними следуют фишинговые разрешения на использование BSC, не отозванные ранее, на сумму 610 000 долларов, представляющие собой хищения средств. Эксплойты IncreaseApproval завершили список основных векторов атак с убытками в размере 326 000 ETH.