SlowMist Identa falha de segurança que poderia expor as chaves privadas

A empresa de segurança de blockchain SlowMistdentuma vulnerabilidade em uma biblioteca criptográfica JavaScript amplamente usada que poderia expor as chaves privadas dos usuários aos invasores.

A falha de segurança afeta a popular biblioteca “elíptica” que fornece funções de criptografia da curva elíptica para várias carteiras de criptomoeda, sistemas dedente aplicativos da Web3.

a análise do SlowMist , a vulnerabilidade vem do manuseio defeituoso da biblioteca de entradas não padrão durante operações de assinatura. Esse fluxo pode levar a números aleatórios repetidos nas assinaturas da ECDSA. Como a segurança dessas assinaturas depende inteiramente da singularidade desses valores aleatórios, qualquer repetição permite que os invasores de matemática matic derivados da chave privada.

A vulnerabilidade permitetracde chave privada com a interação mínima

A razão da falha é a forma como a biblioteca elípica gera o que os criptografistas chamam de "K Valor". Este é um número aleatório que nunca deve ser reutilizado em diferentes assinaturas. A análise do SlowMist revela que os invasores podem criar entradas específicas que induzem a biblioteca a reutilizar esse valor. "Ao gerar K, a chave privada e a mensagem são usadas como sementes para garantir a singularidade sob diferentes insumos", explica o relatório do SlowMist.

Essa falha cria um vetor de ataque perigoso porque precisa de interação mínima com as vítimas. Um invasor só precisa observar uma assinatura legítima e depois enganar o alvo para assinar uma mensagem especialmente criada. Ao comparar essas duas assinaturas, o invasor pode matar omaticderivado da chave privada da vítima usando uma fórmula relativamente simples.

A adoção generalizada coloca inúmeros aplicativos Web3 em risco

O uso da biblioteca elípticos pela comunidade JavaScript aumenta maior o impacto potencial da vulnerabilidade. O SlowMist indica que a vulnerabilidade está presente em todas as versões de até 6.6.0 e afeta as aplicações usando várias curvas elípticas.

Qualquer aplicação que faça assinaturas de ECDSA em entrada fornecida externamente está em risco. Isso pode incluir carteiras de criptomoeda, aplicativos de finanças descentralizadas, plataformas NFT e aplicativos de autenticação dedentbaseados em Web3.

A utilização da biblioteca no espaço da moeda digital vem com uma superfície de ataque. Se a chave privada estiver comprometida, os atacantes terão controle total sobre os ativos correspondentes. Os hackers podem executar transferências não autorizadas, alterar registros de propriedade ou se passar por usuários em aplicativos descentralizados.

A SlowMist também publicou algumas sugestões de emergência para usuários e desenvolvedores mitigarem a ameaça à segurança. Os desenvolvedores devem, antes de tudo, atualizar a biblioteca elíptica para a versão 6.6.1 ou superior, uma vez que a vulnerabilidade foi oficialmente abordada no lançamento mais recente.

Além de atualizar a biblioteca, o SlowMist recomenda que os desenvolvedores incluam mais precauções de segurança em seus aplicativos. Para os usuários de aplicativos afetados, a maior preocupação é se suas chaves privadas já podem estar em risco. A SlowMist recomenda que os usuários que possivelmente assinaram mensagens maliciosas ou desconhecidas tomem a precaução de substituir suas chaves privadas.

Os ataques de phishing diminuem à medida que as vulnerabilidades técnicas levam o centro do palco

Embora a descoberta do SlowMist indique ameaças de vulnerabilidades tecnológicas, os números do Scam Sniffer indicam que ataques convencionais de phishing caíram por três meses seguidos. Em fevereiro de 2025, US $ 5,32 milhões foram perdidos por 7.442 vítimas. Isso representa uma queda de 48% dos US $ 10,25 milhões de janeiro e uma queda de 77% em relação aos US $ 23,58 milhões de dezembro.

🧵 [1/4] 🚨 Scamsniffer em fevereiro de 2025 Relatório de phishing

Perdas de fevereiro: US $ 5,32M | 7.442 vítimas
de janeiro perdas: US $ 10,25M | 9.220 vítimas
(-48% mãe) pic.twitter.com/hszzslykjc

- Scam Sniffer | Web3 Anti-SCAM (@realscamsniffer) 5 de março de 2025

Embora essa tendência descendente seja aparente, vários vetores de ataque ainda são extremamente potentes. Ataques de permissão de permissão em que os hackers criam endereços de carteira que são visualmente indistinguíveis dos legítimos, resultaram na maior perda única no valor de US $ 771.000 em ETH.

Os ataques baseados em licenças ficaram logo atrás, com US $ 611.000 em perdas, seguidos por aprovações de phishing não renovadas no BSC no valor de US $ 610.000 em fundos desviados. As explorações da crescente e da melhoria completaram os principais vetores de ataque com perdas no valor de US $ 326.000 em ETH.

Academia Cryptopolitan: Quer aumentar seu dinheiro em 2025? Aprenda a fazê -lo com DeFi em nossa próxima webclass. Salve seu lugar