Ricerca: gli hacker potrebbero installare una backdoor nel cold storage Bitcoin

Anche un portafoglio Bitcoin conservato in cold storage, ritenuto da molti il ​​modo più sicuro per conservare la valuta digitale, potrebbe rivelare le sue chiavi private a un aggressore, ha scoperto un ricercatore di sicurezza.

Un aggressore potrebbe effettuare il reverse engineering delle chiavi private di un portafoglio compromesso partendo da informazioni ridotte come una singola transazione emessa da quel portafoglio.

L’attacco è particolarmente preoccupante perché avrebbe successo anche se la vittima avesse mantenuto un portafoglio su una macchina air-gapped senza una connessione Internet – oanche nello spazio, come sta tentando di fare il fornitore di portafogli Xapo, secondo il documento di Stephan Verbücheln.

Verbücheln, ricercatore presso l'Università HumboldtIstituto per l'informaticaa Berlino, ha detto:

"L'aggressore deve solo osservare la blockchain finché non compaiono due firme [compromesse]... le firme interessate non sono rilevabili da nessuno se non dall'aggressore stesso."

L'opinione diffusa è che le monete conservate in cold storage siano al sicuro dagli attacchi perché le chiavi private non entrano mai in contatto con Internet o con altre reti.

In generale, questo è vero. Anche se il dispositivo di cold storage potesse essere compromesso da malware, le chiavi private rubate non verrebbero trasmesse a un ladro perché T è connesso a Internet.

Come funziona

Il documento di Verbücheln, intitolato,Come i portafogli offline perfetti possono ancora far trapelare le chiavi private Bitcoin, definisce un attacco incentrato sull'algoritmo crittografico di Bitcoin.

Questa formula matematica, nota comeECDSA o l'algoritmo di firma digitale a curva ellittica, viene utilizzato nel protocollo Bitcoin per garantire che i fondi possano essere spesi solo dai legittimi proprietari.

Quando avviene una transazione Bitcoin , contiene ONE o più firme ECDSA. Il numero di firme in una transazione dipende dal numero di ingressi che contiene e sono utilizzati per dimostrare che le transazioni sono state autorizzate dai legittimi proprietari. La quantità di Bitcoin contenuta in una transazione è costituita dalla somma dei suoi input.

L'attaccante deve prima creare una versione compromessa di ECDSA. Ciò si ottiene con uncleptografico'SETUP', ovvero 'Secretly Embedded Trapdoor with Embedded Protection', descritto per la prima volta in unarticolo del 1997di Adam Young e Moti Yung. Quel documento descriveva un attacco simile alAlgoritmo di firma digitale, su cui si basa l'ECDSA.

Ogni volta che una transazione Bitcoin viene firmata, la firma viene generata in parte da un numero casuale noto come 'k'. L'ECDSA compromesso utilizza una formula specifica per selezionare 'k', che a sua volta viene utilizzata per calcolare un ulteriore valore 'k2'.

L'attaccante ora osserverà le firme consecutive firmate dall'ECDSA compromesso. Poiché sa come è stato calcolato 'k2' in primo luogo, sarà in grado di calcolare quel valore da due firme consecutive. Con 'k2' in mano, l'attaccante può lavorare all'indietro per calcolare 'k' e la chiave privata per quell'indirizzo.

"Una volta che l'attaccante conosce 'k2' per una firma ECDSA, è facile per lui calcolare la chiave privata", ha affermato Verbücheln.

Un osservatore della blockchain, e persino l'attaccante stesso, che esaminasse le firme di questa curva ellittica compromessa non sarebbe in grado di rilevare alcun errore. A differenza di un osservatore generico, tuttavia, l'attaccante eseguirebbe la sua formula di estrazione su ogni firma sulla blockchain, sperando di trovare il valore "k2" dalle firme generate dal suo ECDSA dannoso.

Alla fine, l'attaccante troverà le firme firmate dalla sua stessa opera, il che gli consentirà di scoprire "k2" e di ricavare la chiave privata degli indirizzi.

"Ora può conservare le chiavi private estratte e controllare il saldo degli indirizzi. Può usarle per rubare denaro in qualsiasi momento", ha detto Verbücheln.

La buona notizia

Verbücheln ha detto che il suo articolo non è stato ancora inviato per la pubblicazione, anche se sta tenendo una conferenza sull'argomento aconferenza ad Amsterdam la prossima settimana.

Sebbene lo scenario descritto da Verbücheln sia spaventoso (le chiavi private sono sostanzialmente trapelate nella blockchain), la buona notizia è che si tratta di un attacco difficile da realizzare su larga scala.

Ivan Pustogarov

, ricercatore presso il gruppo di ricerca in crittologia dell'Università del Lussemburgo, ha affermato che un tentativo di introdurre di nascosto il codice ECDSA compromesso in un popolare portafoglio open source, ad esempio, verrebbe scoperto dal pubblico.

"Nel software open source su larga scala... Il codice verrà analizzato a un certo punto e l'implementazione dannosa verrà rilevata", ha affermato.

Verbücheln condivide ampiamente questa valutazione, sebbene avverta che alcuni pezzi di codice open source sono così grandi e complessi che persino una comunità di sviluppatori dedicata potrebbe non rilevare un'aggiunta dannosa.

Sia Verbücheln che Pustogarov affermano che il modo più probabile per montare un attacco del genere sarebbe tramite servizi di portafoglio dedicati che eseguono software proprietario. I dispositivi progettati specificamente per l'archiviazione a freddo sicura delle monete, ad esempio, sarebbero i candidati PRIME per questo tipo di attacco.

"Anche se il produttore afferma di eseguire codice open source, come fai a sapere se sta effettivamente eseguendo ciò che hai compilato?", ha chiesto Verbücheln.

Secondo Pustogarov, il documento di Verbücheln descrive un attacco correlato al difetto dei "valori r ripetuti" individuato dall'hacker white-hat "Johoe"notoriamente sfruttato per ottenere più di 500 BTC dal fornitore di portafogli Blockchain.

"Questi due problemi sono correlati. Il documento [Verbücheln] descrive un approccio più generale, e i valori r ripetuti sono un sottocaso", ha affermato.

Verbücheln ha detto di non sapere se l'attacco da lui descritto sia stato effettivamente eseguito. Tuttavia, la possibilità che ONE degli algoritmi crittografici CORE alla base di Bitcoin possa essere astutamente compromesso, consentendo a un ladro di forzare la serratura anche degli indirizzi più sicuri, presenta uno scenario agghiacciante.

"Questo attacco è noto da molti anni per i sistemi Cripto correlati, quindi T si può esserne certi", ha affermato.