BTC
$84,835.22
-
0.41%
ETH
$1,602.37
+
0.14%
USDT
$0.9998
-
0.00%
XRP
$2.0680
-
0.94%
BNB
$593.45
+
0.04%
SOL
$139.06
+
0.27%
USDC
$0.9998
-
0.00%
DOGE
$0.1572
-
1.04%
TRX
$0.2418
+
0.03%
ADA
$0.6252
-
0.79%
LEO
$9.3173
-
0.30%
LINK
$12.94
+
0.75%
AVAX
$19.64
+
1.00%
XLM
$0.2449
-
0.63%
TON
$2.9729
-
0.68%
SHIB
$0.0₄1240
+
1.59%
HBAR
$0.1644
-
1.16%
SUI
$2.1338
-
0.81%
BCH
$335.97
-
0.73%
HYPE
$17.92
-
1.29%
S'inscrire
Sélection de la langue
Français frEspañol esFilipino filУкраїнська ukItaliano itPortuguês pt-brРусский ruEnglish en
Logo
Markets
Share this article

Recherche : les pirates pourraient installer une porte dérobée dans le stockage à froid de Bitcoin

Un chercheur berlinois a décrit une méthode permettant de compromettre un algorithme de CORE sur lequel repose le Bitcoin , de sorte que les transactions divulguent des données de clé privée.

By Joon Ian Wong
Updated Sep 11, 2021, 11:27 a.m. Published Jan 16, 2015, 10:35 a.m.

Même un portefeuille Bitcoin stocké à froid, largement considéré comme le moyen le plus sûr de conserver la monnaie numérique, pourrait divulguer ses clés privées à un attaquant, a découvert un chercheur en sécurité.

Un attaquant pourrait procéder à une rétro-ingénierie des clés privées d'un portefeuille compromis à partir d'aussi peu d'informations qu'une seule transaction émise par ce portefeuille.

STORY CONTINUES BELOW
Don't miss another story.Subscribe to the Crypto for Advisors Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

L'attaque est particulièrement inquiétante car elle réussirait même si la victime conservait un portefeuille sur une machine isolée sans connexion Internet – oumême dans l'espace, comme le fournisseur de portefeuille Xapo tente de le faire – selon l'article de Stephan Verbücheln.

Verbücheln, chercheur à l'Université HumboldtInstitut d'informatiqueà Berlin, a déclaré :

« L'attaquant n'a qu'à surveiller la blockchain jusqu'à ce que deux signatures [compromises] apparaissent... les signatures affectées ne sont détectables par personne d'autre que l'attaquant. »

La sagesse conventionnelle veut que les pièces stockées à froid soient à l’abri des attaques, car les clés privées n’entrent jamais en contact avec Internet ou tout autre réseau.

En général, c'est vrai. Même si le périphérique de stockage à froid était compromis par un logiciel malveillant, les clés privées volées ne seraient pas transmises à un voleur, car il n'est T connecté à Internet.

Comment ça marche

L'article de Verbücheln, intitulé,Comment des portefeuilles hors ligne parfaits peuvent-ils encore divulguer des clés privées Bitcoin ?, définit une attaque centrée sur l'algorithme cryptographique du Bitcoin.

Cette formule mathématique, connue sous le nom deECDSA ou l'algorithme de signature numérique à courbe elliptique, est utilisé dans le protocole Bitcoin pour garantir que les fonds ne peuvent être dépensés que par leurs propriétaires légitimes.

Lorsqu'une transaction Bitcoin a lieu, elle contient une ou plusieurs signatures ECDSA. Le nombre de signatures dans une transaction dépend du nombre de entrées qu'il contient et sert à prouver que les transactions ont été autorisées par leurs propriétaires légitimes. Le montant de Bitcoin contenu dans une transaction correspond à la somme de ses entrées.

L'attaquant doit d'abord créer une version compromise d'ECDSA. Ceci est réalisé avec unkleptographique« SETUP », ou « Trappe secrètement intégrée avec protection intégrée », qui a été décrit pour la première fois dans unarticle de 1997par Adam Young et Moti Yung. Cet article décrit une attaque similaire contreAlgorithme de signature numérique, sur lequel l'ECDSA est basé.

Chaque fois qu'une transaction Bitcoin est signée, la signature est générée en partie à partir d'un nombre aléatoire appelé « k ». L'ECDSA compromis utilise une formule spécifique pour sélectionner « k », qui est ensuite utilisée pour calculer une autre valeur, « k2 ».

L'attaquant surveillera désormais les signatures consécutives signées par l'ECDSA compromis. Sachant comment « k2 » a été calculé initialement, il pourra calculer cette valeur à partir de deux signatures consécutives. Avec « k2 » en main, l'attaquant pourra remonter à l'arrière pour calculer « k » et la clé privée de cette adresse.

« Une fois que l'attaquant connaît « k2 » pour une signature ECDSA, il lui est facile de calculer la clé privée », a déclaré Verbücheln.

Un observateur de la blockchain – et même l'attaquant lui-même – examinant les signatures de cette courbe elliptique compromise ne serait pas en mesure de détecter de défauts. Cependant, contrairement à un observateur général, l'attaquant exécuterait sa formule d'extraction sur chaque signature de la blockchain, espérant trouver la valeur « k2 » à partir des signatures générées par son ECDSA malveillant.

Finalement, l'attaquant tombera sur les signatures signées par son ouvrage, lui permettant de découvrir « k2 » et finalement de dériver la clé privée des adresses.

« Il peut désormais stocker les clés privées extraites et surveiller le solde des adresses. Il peut les utiliser pour voler de l'argent à tout moment », a déclaré Verbücheln.

La bonne nouvelle

Verbücheln a déclaré que son article n'avait pas encore été soumis pour publication, bien qu'il donne une conférence sur le sujet lors d'unconférence à Amsterdam la semaine prochaine.

Bien que le scénario décrit par Verbücheln soit effrayant – des clés privées ont été divulguées dans la blockchain – la bonne nouvelle est qu’il s’agit d’une attaque difficile à mener à grande échelle.

Ivan Poustogarov

, chercheur au groupe de recherche en cryptologie de l'Université du Luxembourg, a déclaré qu'une tentative d'introduction clandestine de code ECDSA compromis dans un portefeuille open source populaire, par exemple, serait découverte par le public.

« Dans les logiciels open source à grande échelle… Le code sera analysé à un moment donné et l’implémentation malveillante sera détectée », a-t-il déclaré.

Verbücheln partage largement cette évaluation, même s'il prévient que certains morceaux de code open source sont si volumineux et complexes que même une communauté dédiée de développeurs peut ne pas détecter un ajout malveillant.

Verbücheln et Pustogarov affirment tous deux que le moyen le plus probable pour mener une telle attaque serait de recourir à des services de portefeuilles dédiés exécutant un logiciel propriétaire. Les appareils conçus spécifiquement pour le stockage à froid sécurisé des cryptomonnaies, par exemple, seraient des candidats de PRIME pour ce type d'attaque.

« Même si le fabricant affirme exécuter du code open source, comment savoir s'il exécute réellement ce que vous avez compilé ? » a demandé Verbücheln.

Selon Pustogarov, l'article de Verbücheln décrit une attaque liée à la faille « valeurs r répétées » du hacker white-hat « Johoe ».célèbrement exploité pour récupérer plus de 500 BTC auprès du fournisseur de portefeuille Blockchain.

« Ces deux questions sont liées. L'article [Verbücheln] décrit une approche plus générale, et les valeurs r répétées en constituent un sous-cas », a-t-il déclaré.

Verbücheln a déclaré ignorer si l'attaque qu'il a décrite a réellement été menée. Néanmoins, la possibilité qu'un des algorithmes cryptographiques CORE du Bitcoin soit subtilement compromis, permettant à un voleur de forcer les adresses les plus sécurisées, constitue un scénario effrayant.

« Cette attaque est connue depuis de nombreuses années pour les systèmes Crypto associés, donc on ne peut T en être sûr », a-t-il déclaré.

hackingCrimeSecurityTechnologyAcademic ResearchFeaturesTechnology News
Joon Ian Wong

Joon Ian Wong