Pananaliksik: Maaaring Mag-install ng Backdoor ang mga Hacker sa Cold Storage ng Bitcoin

Kahit na ang isang Bitcoin wallet sa malamig na imbakan, malawak na inakala na ang pinaka-secure na paraan upang hawakan ang digital na pera, ay maaaring tumagas ng mga pribadong key nito sa isang umaatake, natuklasan ng isang mananaliksik sa seguridad.

Maaaring i-reverse-engineer ng isang attacker ang mga pribadong key ng nakompromisong wallet mula sa kasing liit na impormasyon gaya ng isang transaksyon na ibinigay ng wallet na iyon.

Ang pag-atake ay partikular na nakababahala dahil ito ay magiging matagumpay kahit na ang biktima ay nagpanatili ng wallet sa isang air-gapped na makina na walang koneksyon sa Internet – o kahit sa kalawakan, bilang wallet provider na si Xapo ay sinusubukang gawin – ayon sa papel ni Stephan Verbücheln.

Verbücheln, isang mananaliksik sa Humboldt University's Institute para sa Computer Science sa Berlin, sinabi:

"Kailangan lamang panoorin ng umaatake ang blockchain hanggang lumitaw ang dalawang [nakompromiso] na pirma ... ang mga apektadong lagda ay hindi nakikita ng sinuman maliban sa umaatake."

Sinasabi ng tradisyonal na karunungan na ang mga barya sa cold storage ay ligtas mula sa mga pag-atake dahil ang mga pribadong key ay hindi kailanman nakikipag-ugnayan sa Internet o anumang iba pang network.

Sa pangkalahatan, ito ay totoo. Kahit na ang cold storage device ay maaaring makompromiso ng malware, ang mga ninakaw na pribadong key ay mabibigo na maipadala sa isang magnanakaw dahil T ito nakakonekta sa Internet.

Paano ito gumagana

Ang papel ni Verbücheln, na pinamagatang, Kung Paano Magagawa ng Mga Perpektong Offline Wallet ang Pag-leak ng Mga Pribadong Key ng Bitcoin, nagtatakda ng isang pag-atake na nakasentro sa cryptographic algorithm ng bitcoin.

Ang mathematical formula na ito, na kilala bilang ECDSA o ang Elliptic Curve Digital Signature Algorithm, ay ginagamit sa Bitcoin protocol upang matiyak na ang mga pondo ay maaari lamang gastusin ng kanilang mga nararapat na may-ari.

Kapag naganap ang isang transaksyon sa Bitcoin , naglalaman ito ng ONE o higit pang mga lagda ng ECDSA. Ang bilang ng mga lagda sa isang transaksyon ay depende sa bilang ng mga input na naglalaman ito at ginagamit upang patunayan na ang mga transaksyon ay pinahintulutan ng kanilang mga karapat-dapat na may-ari. Ang halaga ng Bitcoin na nakapaloob sa isang transaksyon ay binubuo ng kabuuan ng mga input nito.

Dapat munang gumawa ng nakompromisong bersyon ng ECDSA ang umaatake. Nakamit ito sa pamamagitan ng a kleptograpiko 'SETUP', o 'Secretly Embedded Trapdoor with Embedded Protection', na unang inilarawan sa isang 1997 papel nina Adam Young at Moti Yung. Inilarawan ng papel na iyon ang isang katulad na pag-atake sa Digital Signature Algorithm, kung saan nakabatay ang ECDSA.

Sa bawat oras na nilagdaan ang isang transaksyon sa Bitcoin , ang pirma ay bahagyang nabuo mula sa isang random na numero na kilala bilang 'k'. Gumagamit ang nakompromisong ECDSA ng isang partikular na formula para piliin ang 'k', na ginagamit naman para mag-compute ng karagdagang value na 'k2'.

Babantayan na ngayon ng umaatake ang magkakasunod na lagda na nilagdaan ng nakompromisong ECDSA. Dahil alam niya kung paano nakalkula ang 'k2' noong una, magagawa niyang kalkulahin ang halagang iyon mula sa dalawang magkasunod na lagda. Sa 'k2' sa kamay, ang umaatake ay maaaring gumana nang paatras upang kalkulahin ang 'k' at ang pribadong key sa address na iyon.

"Pagkatapos malaman ng umaatake ang 'k2' para sa isang pirma ng ECDSA, madali para sa kanya na kalkulahin ang pribadong susi," sabi ni Verbücheln.

Ang isang tagamasid ng blockchain – at maging ang mismong umaatake – na tumitingin sa mga lagda mula sa nakompromisong elliptic curve na ito ay hindi makakatuklas ng anumang mga pagkakamali. Hindi tulad ng isang pangkalahatang tagamasid, gayunpaman, ang umaatake ay magpapatakbo ng kanyang extraction formula sa bawat signature sa blockchain, umaasa na mahanap ang 'k2' na halaga mula sa mga lagda na nabuo ng kanyang malisyosong ECDSA.

Sa kalaunan, tatamaan ng attacker ang mga lagda na nilagdaan ng kanyang gawa, na nagpapahintulot sa kanya na matuklasan ang 'k2' at sa huli ay makuha ang pribadong key ng mga address.

"Maaari na niyang iimbak ang mga nakuhang pribadong susi at panoorin ang balanse ng mga address. Magagamit niya ang mga ito upang magnakaw ng pera anumang oras," sabi ni Verbücheln.

Ang magandang balita

Sinabi ni Verbücheln na ang kanyang papel ay hindi pa naisumite para sa publikasyon, bagama't siya ay nagbibigay ng isang pahayag sa paksa sa isang kumperensya sa Amsterdam sa susunod na linggo.

Bagama't nakakatakot ang sitwasyong inilarawan ni Verbücheln – ang mga pribadong key ay mahalagang tumagas sa blockchain – ang magandang balita ay ito ay isang mahirap na pag-atake na isagawa sa malawakang saklaw.

Ivan Pustogarov

, isang researcher sa cryptology research group ng University of Luxembourg, ay nagsabi na ang isang pagtatangka na ipuslit ang nakompromisong ECDSA code sa isang sikat na open-source na wallet, halimbawa, ay matutuklasan ng publiko.

"Sa open-source [software] sa isang malaking sukat ... Ang code ay susuriin sa isang punto sa oras at ang malisyosong pagpapatupad ay nakita," sabi niya.

Sa pangkalahatan, ibinabahagi ni Verbücheln ang pagtatasa na ito, bagama't nagbabala siya na ang ilang piraso ng open-source code ay napakalaki at kumplikado na kahit na ang isang nakatuong komunidad ng mga developer ay maaaring hindi makakita ng malisyosong karagdagan.

Parehong sinabi ni Verbücheln at Pustogarov na ang pinaka-malamang na paraan para mai-mount ang naturang pag-atake ay sa pamamagitan ng nakalaang mga serbisyo ng wallet na nagpapatakbo ng proprietary software. Ang mga device na partikular na idinisenyo para sa secure na cold-storage ng mga barya, halimbawa, ay magiging PRIME mga kandidato para sa ganitong uri ng pag-atake.

"Kahit na sinasabi ng tagagawa na nagpapatakbo ito ng open-source code, paano mo malalaman kung talagang pinapatakbo nito ang iyong pinagsama-sama?" Sabi ni Verbücheln.

Ayon kay Pustogarov, ang Verbücheln paper ay naglalarawan ng isang pag-atake na may kaugnayan sa 'paulit-ulit na r-values' na kapintasan na ang white-hat hacker na si 'Johoe' tanyag na pinagsamantalahan upang makakuha ng higit sa 500 BTC mula sa wallet provider na Blockchain.

"Ang dalawang isyung ito ay may kaugnayan. Ang [Verbücheln] na papel ay naglalarawan ng isang mas pangkalahatang diskarte, at ang paulit-ulit na r-values ​​ay isang sub-case," sabi niya.

Sinabi ni Verbücheln na hindi niya alam kung ang pag-atake na inilarawan niya ay talagang natupad. Gayunpaman, ang posibilidad na ang ONE sa mga CORE cryptographic algorithm na pinagbabatayan ng Bitcoin ay maaaring tusong ikompromiso, na nagpapahintulot sa isang magnanakaw na pumili ng lock ng kahit na ang pinaka-secure na mga address, ay nagpapakita ng isang nakakapanghinayang senaryo.

"Ang pag-atake na ito ay kilala sa loob ng maraming taon para sa mga kaugnay na sistema ng Crypto , kaya T mo malalaman nang sigurado," sabi niya.