Дослідження: хакери можуть встановити бекдор у холодильному сховищі Bitcoin

Дослідник безпеки виявив, що навіть Bitcoin гаманець у холодному сховищі, який вважається найбезпечнішим способом зберігання цифрової валюти, може передати свої особисті ключі зловмиснику.

Зловмисник може реконструювати приватні ключі скомпрометованого гаманця, використовуючи так мало інформації, як одна транзакція, здійснена цим гаманцем.

Атака викликає особливе занепокоєння, оскільки вона була б успішною, навіть якби жертва підтримувала гаманець на комп’ютері без підключення до Інтернету або навіть у космосі, як намагається зробити постачальник гаманців Xapo – згідно з документом Стефана Вербюхельна.

Вербюхельн, дослідник Університету Гумбольдта Інститут комп'ютерних наук у Берліні сказав:

«Зловмиснику потрібно лише спостерігати за блокчейном, доки не з’являться дві [зламані] підписи... ніхто, крім зловмисника, не зможе виявити постраждалі підписи».

Загальноприйнята думка свідчить, що монети в холодному сховищі захищені від атак, оскільки закриті ключі ніколи не контактують з Інтернетом чи будь-якою іншою мережею.

Загалом це правда. Навіть якщо холодний накопичувач може бути скомпрометований зловмисним програмним забезпеченням, викрадені особисті ключі не передадуться злодієві, оскільки він T підключений до Інтернету.

Як це працює

Стаття Вербюхельна під назвою Як ідеальні офлайн-гаманці все ще можуть витікати приватні ключі Bitcoin, встановлює атаку, зосереджену на криптографічному алгоритмі біткойна.

Ця математична формула, відома як ECDSA або алгоритм цифрового підпису еліптичної кривої, використовується в протоколі Bitcoin , щоб гарантувати, що кошти можуть витрачатися лише їхніми законними власниками.

Коли відбувається Bitcoin транзакція, вона містить ONE або кілька підписів ECDSA. Кількість підписів у транзакції залежить від кількості входи що він містить і використовується для підтвердження транзакцій, які були санкціоновані їх законними власниками. Сума Bitcoin , що міститься в транзакції, складається із суми її вхідних даних.

Зловмисник повинен спочатку створити скомпрометовану версію ECDSA. Це досягається за допомогою a клептографічний «НАЛАШТУВАННЯ», або «Таємно вбудований люк із вбудованим захистом», який вперше був описаний у Папір 1997 року Адам Янг і Моті Юнг. У цій статті описано подібний напад на Алгоритм цифрового підпису, на якому базується ECDSA.

Щоразу, коли підписується Bitcoin транзакція, підпис генерується частково з випадкового числа, відомого як «k». Зламана ECDSA використовує спеціальну формулу для вибору «k», яка, у свою чергу, використовується для обчислення наступного значення «k2».

Тепер зловмисник буде стежити за послідовними підписами, підписаними скомпрометованим ECDSA. Оскільки він знає, як спочатку було обчислено «k2», він зможе обчислити це значення з двох послідовних підписів. Маючи під рукою «k2», зловмисник може працювати у зворотному напрямку, щоб обчислити «k» і закритий ключ до цієї адреси.

«Після того як зловмисник дізнається «k2» для підпису ECDSA, йому легко обчислити приватний ключ», — сказав Вербюхельн.

Спостерігач за блокчейном – і навіть сам зловмисник – дивлячись на підписи цієї скомпрометованої еліптичної кривої, не зможе виявити жодних збоїв. Проте, на відміну від звичайного спостерігача, зловмисник запускає свою формулу вилучення для кожного підпису в блокчейні, сподіваючись знайти значення «k2» із підписів, згенерованих його шкідливим ECDSA.

Врешті-решт зловмисник потрапить на підписи, підписані його рукою, що дозволить йому виявити «k2» і зрештою отримати закритий ключ адреси.

«Тепер він може зберігати витягнуті приватні ключі та спостерігати за балансом адрес. Він може використовувати їх для крадіжки грошей у будь-який момент часу», — сказав Вербюхельн.

Хороші новини

Вербюхельн сказав його статтю ще не подано для публікації, хоча він виступає з доповіддю на цю тему на конференції в Амстердамі наступного тижня.

Хоча сценарій, описаний Вербюхельном, лякає – приватні ключі фактично просочилися в блокчейн – хороша новина полягає в тому, що цю атаку важко здійснити у великому масштабі.

Іван Пустогаров

, дослідник дослідницької групи криптології Університету Люксембургу, сказав, що спроба контрабанди скомпрометованого коду ECDSA у популярний гаманець із відкритим кодом, наприклад, буде виявлена ​​громадськістю.

«У [програмному забезпеченні] з відкритим вихідним кодом у великих масштабах... Код буде проаналізовано в якийсь момент часу та виявлено зловмисне впровадження», — сказав він.

Вербюхельн значною мірою поділяє цю оцінку, хоча він застерігає, що деякі частини коду з відкритим вихідним кодом настільки великі та складні, що навіть спеціальна спільнота розробників може не виявити шкідливе доповнення.

І Вербюхельн, і Пустогаров кажуть, що найвірогіднішим способом здійснення такої атаки було б використання спеціалізованих служб гаманців, на яких працює пропрієтарне програмне забезпечення. Пристрої, розроблені спеціально для безпечного холодного зберігання монет, наприклад, були б PRIME кандидатами для такого роду атак.

«Навіть якщо виробник стверджує, що він працює з відкритим вихідним кодом, як визначити, чи він справді виконує те, що ви зібрали?» – сказав Вербюхельн.

За словами Пустогарова, документ Verbücheln описує атаку, яка пов’язана з недоліком «повторюваних r-значень» хакера «Johoe». знаменито експлуатований отримати більше 500 BTC від постачальника гаманців Blockchain.

«Ці дві проблеми пов’язані. Стаття [Verbücheln] описує більш загальний підхід, і повторювані значення r є підвипадком», – сказав він.

Вербюхельн сказав, що не знає, чи насправді було здійснено напад, який він описав. Тим не менш, можливість того, що ONE із CORE криптографічних алгоритмів, що лежить в основі Bitcoin, може бути хитро зламаний, дозволяючи злодієві зламувати замок навіть найбезпечніших адрес, представляє жахливий сценарій.

«Ця атака була відома протягом багатьох років для пов’язаних Крипто , тому ви T можете знати напевно», – сказав він.