• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

新发现的“Dark Skippy”漏洞可能危及Bitcoin硬件钱包

  • 2024年8月09日 17:46

安全研究人员近日揭示了一种名为“Dark Skippy”的新型攻击方法,这种方法能够窃取Bitcoin硬件钱包中的私钥,即使只进行少量签名交易。这一发现可能对硬件钱包用户构成重大威胁,尽管目前攻击者需要诱骗受害者下载恶意软件才能执行此攻击。

“Dark Skippy”是一种新型的攻击技术,研究人员在8月5日发布的报告中详细介绍了该方法。根据报告,这种攻击能够利用硬件钱包生成的低熵随机数,从而在仅进行两笔签名交易的情况下,推断出Bitcoin硬件钱包的私钥。该方法的最新版本相比于早期版本有显著改进,甚至可以在用户只发布少量交易的情况下成功实施攻击。

具体而言,攻击者可以通过扫描Blockchain,收集并记录由硬件钱包生成的签名。这些签名虽然只包含公共随机数,但攻击者可以利用 Pollard 袋鼠算法从这些公共信息中计算出秘密随机数。Pollard 袋鼠算法是一种用于解决离散对数问题的数学算法,由数学家 John M. Pollard 提出。

这一研究由 Lloyd Fournier、Nick Farrow 和 Robin Linus 完成。Fournier 和 Farrow 是硬件钱包制造商 Frostsnap 的联合创始人,而 Linus 是Bitcoin ZeroSync 协议和 BitVM 的联合开发者。他们的研究揭示了即使在用户使用不同设备生成种子词的情况下,攻击者也可能成功推断出完整的种子词集。

虽然“Dark Skippy”并不引入全新的漏洞,但它利用了现有漏洞的新方法。此前的漏洞版本依赖于“随机数研磨”过程,这需要在Blockchain上发布更多交易。相较而言,“Dark Skippy”方法的效率大大提高,使得攻击变得更加隐蔽和迅速。

为了应对这一威胁,报告建议硬件钱包制造商采取多种措施来防止恶意软件的侵入。例如,通过安全启动和 JTAG/SWD 接口锁定,以及供应商签名的固件构建来提高安全性。同时,钱包用户也应采取措施保护他们的设备,包括使用秘密地点、个人保险箱,甚至防篡改口袋等。

报告还建议钱包软件应采用“防篡改”签名协议,以防止硬件钱包自行生成随机数,从而增加攻击难度。

Bitcoin钱包漏洞过去曾造成重大损失。2023年8月,网络安全公司 Slowmist 报告称,由于 Libbitcoin 浏览器库中的错误,超过90万美元的Bitcoin被盗。11月,Unciphered 报道指出,由于 BitcoinJS 钱包软件中的漏洞,旧钱包中持有的21亿美元Bitcoin可能面临风险。

元宇宙最新

元宇宙热门

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM