新发现的“Dark Skippy”漏洞可能危及比特币硬件钱包

gateio

OK欧意交易所

全球排名前三的数字货币衍生品交易平台,新用户注册可拆数字货币盲盒,最高60000元,100%有奖哦

点击注册 进入官网

安全研究人员近日揭示了一种名为“Dark Skippy”的新型攻击方法,这种方法能够窃取比特币硬件钱包中的私钥,即使只进行少量签名交易。这一发现可能对硬件钱包用户构成重大威胁,尽管目前攻击者需要诱骗受害者下载恶意软件才能执行此攻击。

“Dark Skippy”是一种新型的攻击技术,研究人员在8月5日发布的报告中详细介绍了该方法。根据报告,这种攻击能够利用硬件钱包生成的低熵随机数,从而在仅进行两笔签名交易的情况下,推断出比特币硬件钱包的私钥。该方法的最新版本相比于早期版本有显著改进,甚至可以在用户只发布少量交易的情况下成功实施攻击。

具体而言,攻击者可以通过扫描区块链,收集并记录由硬件钱包生成的签名。这些签名虽然只包含公共随机数,但攻击者可以利用 Pollard 袋鼠算法从这些公共信息中计算出秘密随机数。Pollard 袋鼠算法是一种用于解决离散对数问题的数学算法,由数学家 John M. Pollard 提出。

这一研究由 Lloyd Fournier、Nick Farrow 和 Robin Linus 完成。Fournier 和 Farrow 是硬件钱包制造商 Frostsnap 的联合创始人,而 Linus 是比特币 ZeroSync 协议和 BitVM 的联合开发者。他们的研究揭示了即使在用户使用不同设备生成种子词的情况下,攻击者也可能成功推断出完整的种子词集。

新发现的“Dark Skippy”漏洞可能危及比特币硬件钱包

虽然“Dark Skippy”并不引入全新的漏洞,但它利用了现有漏洞的新方法。此前的漏洞版本依赖于“随机数研磨”过程,这需要在区块链上发布更多交易。相较而言,“Dark Skippy”方法的效率大大提高,使得攻击变得更加隐蔽和迅速。

为了应对这一威胁,报告建议硬件钱包制造商采取多种措施来防止恶意软件的侵入。例如,通过安全启动和 JTAG/SWD 接口锁定,以及供应商签名的固件构建来提高安全性。同时,钱包用户也应采取措施保护他们的设备,包括使用秘密地点、个人保险箱,甚至防篡改口袋等。

新发现的“Dark Skippy”漏洞可能危及比特币硬件钱包

报告还建议钱包软件应采用“防篡改”签名协议,以防止硬件钱包自行生成随机数,从而增加攻击难度。

比特币钱包漏洞过去曾造成重大损失。2023年8月,网络安全公司 Slowmist 报告称,由于 Libbitcoin 浏览器库中的错误,超过90万美元的比特币被盗。11月,Unciphered 报道指出,由于 BitcoinJS 钱包软件中的漏洞,旧钱包中持有的21亿美元比特币可能面临风险。

上一篇 2024-08-09
下一篇 2024-08-09

相关推荐