区块链安全公司 SlowMistdent,一款广泛使用的 JavaScript 加密库存在漏洞,可能会将用户的私钥暴露给攻击者。.
该安全漏洞影响了流行的“椭圆”库,该库为多个加密货币钱包、dent系统和 Web3 应用程序提供椭圆曲线加密函数。.
根据 SlowMist 的分析,该漏洞源于库在签名操作期间对非标准输入的处理存在缺陷。这种处理方式可能导致 ECDSA 签名中出现重复的随机数。由于这些签名的安全性完全依赖于这些随机值的唯一性,任何重复都可能使攻击者通过数学matic推导出私钥。
该漏洞允许在极少交互的情况下trac私钥。
该漏洞的原因在于椭圆库生成密码学家所谓的“k值”的方式。k值是一个随机数,不应该在不同的签名中重复使用。SlowMist的分析表明,攻击者可以构造特定的输入,诱使库重复使用这个值。SlowMist的报告解释说:“在生成k值时,私钥和消息被用作种子,以确保在不同的输入下k值是唯一的。”.
这个漏洞造成了一种危险的攻击途径,因为它只需要与受害者进行极少的交互。攻击者只需观察到一个合法的签名,然后诱骗目标签署一条精心构造的消息。通过比较这两个签名,攻击者可以使用一个相对简单的公式,matic出受害者的私钥。.
广泛采用会使众多 Web3 应用程序面临风险
JavaScript 社区对椭圆函数库的广泛使用加剧了该漏洞的潜在影响。SlowMist 指出,该漏洞存在于 6.6.0 及更早版本中,并会影响使用各种椭圆曲线的应用程序。.
任何对外部输入数据进行 ECDSA 签名的应用程序都存在风险。这可能包括加密货币钱包、去中心化金融应用程序、 NFT平台和基于 Web3 的身份dent应用程序。
数字货币领域对库的使用存在一定的攻击面。如果私钥泄露,攻击者就能完全控制相应的资产。黑客可以进行未经授权的转账、篡改所有权记录,或者在去中心化应用程序中冒充用户。.
SlowMist 还发布了一些针对用户和开发者的紧急建议,以缓解安全威胁。开发者首先应该将 elliptic 库更新到 6.6.1 或更高版本,因为该漏洞已在最新版本中得到官方修复。.
除了更新库之外,SlowMist 还建议开发者在应用中加入更多安全措施。对于受影响的应用用户而言,最大的担忧是他们的私钥是否已经面临风险。SlowMist 建议,可能签署过恶意或未知消息的用户应采取预防措施,更换他们的私钥。.
随着技术漏洞成为关注焦点,网络钓鱼攻击逐渐减少。
尽管SlowMist的调查结果表明技术漏洞构成威胁,但Scam Sniffer的数据显示,传统网络钓鱼攻击已连续三个月下降。2025年2月,7442名受害者损失了532万美元。这比1月份的1025万美元下降了48%,比12月份的2358万美元下降了77%。
🧵 [1/4] 🚨 ScamSniffer 2025年2月网络钓鱼报告
二月份损失:532万美元 | 7442名受害者;
一月份损失:1025万美元 | 9220名受害者
(环比下降48%) pic.twitter.com/HsZZSlYKJC— 诈骗嗅探器 | Web3 反诈骗 (@realScamSniffer) 2025年3月5日
尽管这种下降趋势显而易见,但一些攻击手段仍然非常有效。例如,黑客利用权限漏洞创建与合法钱包地址在视觉上无法区分的钱包地址,这种攻击方式造成了高达 77.1 万美元的以太坊单笔损失。.
基于许可的攻击紧随其后,造成 61.1 万美元的损失;其次是 BSC 上未撤销的钓鱼授权,导致 61 万美元资金被盗。IncreaseApproval 漏洞利用是造成 32.6 万美元以太坊损失的攻击途径之一。.
