حفره امنیتی در امضای دیجیتالی بیت کوین شناسایی شد
یافته جدید یک تیم تحقیقاتی خبر از شناسایی یک حفره امنیتی در الگوریتم امضای دیجیتالی منحنی بیضوی (ECDSA) بیت کوین میدهد. این حفره امنیتی از سال ۲۰۱۵ وجود داشته و برای سرقت داراییهای دیجیتال کاربران ناآگاه مورد استفاده قرار میگرفت. در طول این سالها بیش از ۲۲۲ بیت کوین از این طریق جابجا شده است.
یافتههای پژوهش اخیر روز ۹ جون (۱۹ خرداد) منتشر شد. این پژوهش نشان میدهد که یک حفره امنیتی در امضاهای سفارشی ECDSA میتوانست کلیدهای خصوصی فرستندگان را فاش کند و نه تنها هؤیت واقعی آنها بلکه آدرسهایشان را نیز فاش کند، به خصوص اگر فرستند آنلاین بوده باشد.
تازهترین اخبار دنیای ارزهای دیجیتال را در پارسیان کریپتو بخوانید:
تعداد آدرسهای صاحب ۱ بیت کوین یا بیشتر به ۱ میلیون رسید
السالوادور و تتر یکی از بزرگترین مزارع استخراج بیتکوین در جهان را میسازند
محققان با یک روش جدید توانستهاند نحوه سوءاستفاده از این حفره امنیتی را در نحوه ایجاد امضاهای ECDSA بیت کوین پیدا کنند. هکرها با این حفره امنیتی توانسته بودند اقدام به ایجاد امضاهای ECDSA جعلی کنند که کاملا معتبر به نظر میآمدند.
به گفته محققان هکرها را برای اجرای این حملهی مبتنی بر شبکه تنها در صورتی میتوانستند کلیدهای خصوصی امضای ECDSA فرستند را بازیابی کنند که از نانس مورد استفاده برای ایجاد امضا اطلاع داشته باشند. نانس در بیت کوین یک عدد تصادفی بیهمتا است که توسط استخراجکنندگان تولید میشود و برای ایجاد هش به کار میرود. این هش ضروریتهای سختی بیت کوین را در زمان تأیید یک بلوک از تراکنشهای بیت کوین برآورده میکند و از تقلب و هزینه بالا جلوگیری میکند.
امضای ECDSA نیز امضای دیجیتالی است که پیامهای رمزگذاریشده میسازد. بیت کوین با این امضا به کاربران خود این اجازه را میدهد که بتوانند مالکیت خود بر داراییهایشان (که در آدرس بیتکوین خود دارند) را به اثبات برسانند. در واقع در بلاکچین بیت کوین تمام صاحبان کلید خصوصی (یعنی همان صاحبان بیت کوین) باید تراکنشها را امضا کنند و قبل از روند بررسی آن تراکنشها در بلاکها تأیید کنند که مالک داراییهای خود هستند.
یافته جدید نشان میدهد که امضاهای سفارشی ECDSA شبکه بلاکچین دارای یک حفره امنیتی هستند که میتواند داراییها، هؤیت و مکان فرستنده را آشکار کند. در طول بررسی این حفره امنیتی نزدیک به ۹۰ هزار امضای آسیبپذیر ECDSA شناسایی شد. این امضاها را ۹۰۰ آدرس مختلف ساخته بودند و در طی ۸ سال نیز ۲۲۲ بیت کوین را جابجا کرده بودند.
درباره نویسنده
فرید کریمی
ثبت نظر جدید