Das Blockchain -Sicherheitsunternehmen Slowmist habe eine Verwundbarkeit in einer weit verbreiteten JavaScript -Kryptografie -Bibliothekdent, die den privaten Schlüssel der Benutzer den Angreifern aussetzen könnte.
Der Sicherheitsfehler wirkt sich auf die beliebte „elliptische“ Bibliothek aus, die Kryptographiefunktionen für elliptische Kurve für mehrere Kryptowährungsbrieftaschen, Ident-Systeme und Web3 -Anwendungen bietet.
Nach Analyse ergibt sich die Sicherheitsanfälligkeit aus der fehlerhaften Handhabung nicht standardmäßiger Eingänge der Bibliothek während der Signaturoperationen. Dieser Fluss kann zu wiederholten Zufallszahlen in ECDSA -Signaturen führen. Da die Sicherheit dieser Unterschriften ausschließlich von der Einzigartigkeit dieser zufälligen Werte abhängt, ermöglicht jede Wiederholung Angreifer, den privaten Schlüssel zu matic .
Die Sicherheitsanfälligkeit ermöglicht eine privatetracmit minimaler Wechselwirkung
Der Grund für den Fehler liegt darin, wie die elliptische Bibliothek das erzeugt, was Kryptografen als „K -Wert“ bezeichnen. Dies ist eine zufällige Zahl, die niemals über verschiedene Unterschriften wiederverwendet werden sollte. Die Analyse von Slowmist zeigt, dass Angreifer bestimmte Eingaben erstellen können, die die Bibliothek dazu bringen, diesen Wert wiederzuverwenden. „Beim Generieren von K werden der private Schlüssel und die Nachricht als Samen verwendet, um die Einzigartigkeit unter verschiedenen Eingaben zu gewährleisten“, erklärt der Bericht von Slowmist.
Dieser Fehler schafft einen gefährlichen Angriffsvektor, weil er eine minimale Interaktion mit den Opfern benötigt. Ein Angreifer muss nur eine legitime Signatur beobachten und dann das Ziel dazu bringen, eine speziell gestaltete Nachricht zu unterschreiben. Durch den Vergleich dieser beiden Unterschriften kann der Angreifer den privaten Schlüssel des Opfers unter Verwendung einer relativ einfachen Formelmatic.
Die weit verbreitete Adoption besteht aus zahlreichen Web3 -Anwendungen gefährdet
Die Verwendung der elliptischen Bibliothek durch die JavaScript -Community macht die potenziellen Auswirkungen der Verwundbarkeit größer. Slowmist gibt an, dass die Sicherheitsanfälligkeit in allen Versionen bis zu 6,6,0 vorhanden ist und Anwendungen unter Verwendung verschiedener elliptischer Kurven beeinflusst.
Jede Anwendung, die ECDSA -Signaturen für extern gelieferte Input stellt, ist gefährdet. Dies kann Kryptowährungsbrieftaschen, dezentrale Finanz-Apps, NFT-Plattformen und Web3-basierte IdentIty-Authentifizierungs-Apps umfassen.
Die Bibliotheksauslastung im digitalen Währungsraum wird mit einer Angriffsfläche geliefert. Wenn der private Schlüssel kompromittiert ist, haben die Angreifer die entsprechende Vermögenswerte die volle Kontrolle. Die Hacker können nicht autorisierte Überweisungen durchführen, Eigentümerdatensätze ändern oder Benutzer in dezentralen Apps ausgeben.
Slowmist hat auch einige Notfallvorschläge für Benutzer und Entwickler veröffentlicht, um die Sicherheitsbedrohung zu mildern. Entwickler sollten zunächst die elliptische Bibliothek auf Version 6.6.1 oder höher aktualisieren, da die Verwundbarkeit in der letzten Veröffentlichung offiziell behandelt wurde.
Abgesehen von der Erfrischung der Bibliothek empfiehlt Slowmist, dass Entwickler weitere Sicherheitsvorkehrungen in ihre Apps einbeziehen. Für die betroffenen App -Nutzer ist das größte Anliegen, ob ihre privaten Schlüssel möglicherweise bereits gefährdet sind. Slowmist empfiehlt, dass Benutzer, die möglicherweise böswillige oder unbekannte Nachrichten unterschrieben haben, die Vorsichtsmaßnahme treffen sollten, ihre privaten Schlüssel zu ersetzen.
Phishing -Angriffe lassen nach, während die technischen Schwachstellen im Mittelpunkt stehen
Obwohl der Fund von Slowmist Bedrohungen durch technische Schwachstellen angibt, zeigen die Zahlen von Betrugsscheißer, dass herkömmliche Phishing -Angriffe drei Monate lang gesunken sind. Im Februar 2025 gingen 5,32 Millionen US -Dollar von 7.442 Opfern verloren. Dies entspricht einem Rückgang um 48% gegenüber den 10,25 Mio. USD im Januar und einem Rückgang von 77% gegenüber 23,58 Mio. USD im Dezember.
🧵 [1/4] 🚨 Scamsniffere Februar 2025 Phishing Report
Februar -Verluste: 5,32 Mio. USD | 7.442 Opfer
Januar Verluste: 10,25 Mio. USD | 9.220 Opfer
(-48% Mama) pic.twitter.com/hszzslykjc– Betrug Sniffer | Web3 Anti-Scam (@realscamsniffer) 5. März 2025
Obwohl dieser Abwärtstrend offensichtlich ist, sind eine Reihe von Angriffsvektoren immer noch extrem wirkungsvoll. Zulassungsangriffe, bei denen Hacker Brieftaschenadressen erstellen, die visuell nicht von legitimen zu unterscheiden sind, führten zu einem höchsten Einzelverlust im Wert von 771.000 USD in ETH.
Die basierten Angriffe mit Genehmigungen lagen mit 611.000 US-Dollar an Verlusten, gefolgt von nicht revozierten Phishing-Genehmigungen für BSC im Wert von 610.000 US-Dollar an Unterschiede. Die Erhöhungspunkte vervollständigten die Top -Angriffsvektoren mit Verlusten im Wert von 326.000 US -Dollar an ETH.