慢慢的我dent可能暴露私钥的安全缺陷

区块链安全公司Slowmist我在广泛使用的JavaScript加密库中dent了一个漏洞，该库可以暴露于用户对攻击者的私钥。

安全缺陷会影响流行的“椭圆”库，该库为几个加密货币钱包，IdentITY系统和Web3应用程序提供了椭圆曲线加密功能。

根据Slowmist的分析，漏洞来自图书馆在签名操作期间对非标准输入的缺陷处理。该流程可能导致ECDSA特征中重复的随机数。由于这些签名的安全性完全取决于这些随机值的唯一性，因此任何重复都可以攻击者数学上的matic得出私钥。

脆弱性允许使用最小互动的私有密钥trac

漏洞的原因是椭圆形库如何生成密码学家所说的“ k值”。这是一个随机数，绝不应该在不同的签名中重复使用。 Slowmist的分析表明，攻击者可以制作特定的输入，这些输入欺骗了图书馆重用该值。 Slowmist的报告解释说：“生成K时，将使用私钥和消息用作种子，以确保不同输入下的独特性。”

该缺陷会产生危险的攻击载体，因为它需要与受害者的最小互动。攻击者只需要观察一个合法的签名，然后欺骗目标签署专门制作的消息。通过比较这两个签名，攻击者可以使用相对简单的公式来数学上的matic来得出受害者的私钥。

广泛采用使许多Web3应用程序处于危险之中

JavaScript社区对椭圆形图书馆的使用使脆弱性的潜在影响更大。 Slowmist表明该漏洞均在最高6.6.0版本中存在，并使用各种椭圆曲线影响应用程序。

任何在外部提供的输入上执行ECDA签名的应用都有风险。这可能包括加密货币钱包，分散的金融应用程序，NFT平台和基于Web3的IdentIty Ity验证应用程序。

数字货币空间中的图书馆利用带有攻击表面。如果私钥被妥协，则攻击者将对相应的资产充分控制。黑客可以在分散的应用程序中执行未经授权的转移，更改所有权记录或模仿用户。

Slowmist还向用户和开发人员发布了一些紧急建议，以减轻安全威胁。首先，开发人员应首先将椭圆库将其更新为6.6.1版或更高版本，因为该漏洞已在最新版本中正式解决。

除了刷新图书馆外，Slowmist建议开发人员在其应用程序中还包括进一步的安全预防措施。对于受影响的应用程序用户而言，最大的问题是他们的私钥是否可能已经处于危险之中。 Slowmist建议可能签署恶意或未知消息的用户应采取更换其私钥的预防措施。

网络钓鱼攻击逐渐消退，因为技术漏洞是中心舞台

尽管Slowmist的发现表明技术漏洞的威胁，但Scam Sniffer的数字表明，传统的网络钓鱼攻击已连续三个月下降。 2025年2月，7,442名受害者损失了532万美元。这是从一月份的10025万美元下降48％，而12月份的2358万美元下降了77％。

🧵[1/4]🚨scamsniffer 2025年2月网络钓鱼报告

2月损失：532万美元| 7,442名受害者
一月损失：1,025万美元| 9,220名受害者
（-48％妈妈） pic.twitter.com/hszzslykjc

- 骗局嗅探器| Web3反扫描（@RealScamSniffer） 2025年3月5日

尽管这种下降趋势显而易见，但许多攻击向量仍然非常有效。允许津贴攻击，其中黑客创建的钱包地址与合法的地址无法视觉上没有区别，从而导致了最高的单一损失，价值771,000美元。

基于许可证的袭击落后于611,000美元的损失，随后又未撤销的BSC的网络钓鱼批准，价值61万美元的资金。增加票房的利用完成了最高攻击向量，损失价值326,000美元。

加密大都会学院：想在2025年养活您的钱吗？在即将到来的WebClass中DeFi进行操作保存您的位置