Исследование: хакеры могут установить бэкдор в холодном хранилище Bitcoin

Исследователь по безопасности обнаружил, что даже Bitcoin кошелек в холодном хранилище, который, по общему мнению, является наиболее безопасным способом хранения цифровой валюты, может раскрыть свои закрытые ключи злоумышленнику.

Злоумышленник может выполнить обратную разработку закрытых ключей взломанного кошелька, используя всего лишь небольшую информацию об одной транзакции, совершенной этим кошельком.

Атака вызывает особую тревогу, поскольку она будет успешной, даже если жертва хранит кошелек на изолированном от внешнего мира компьютере без подключения к Интернету, илидаже в космосе, как пытается сделать поставщик кошельков Xapo, согласно статье Стефана Вербюхельна.

Вербюхельн, исследователь из Университета ГумбольдтаИнститут компьютерных наукв Берлине сказал:

«Злоумышленнику нужно лишь следить за блокчейном до тех пор, пока не появятся две [скомпрометированные] подписи... затронутые подписи не может обнаружить никто, кроме злоумышленника».

Принято считать, что монеты, находящиеся в холодном хранилище, защищены от атак, поскольку закрытые ключи никогда не контактируют с Интернетом или какой-либо другой сетью.

В целом это правда. Даже если бы устройство холодного хранения могло быть скомпрометировано вредоносным ПО, украденные закрытые ключи не были бы переданы вору, поскольку оно T подключено к Интернету.

Как это работает

Статья Вербюхельна, озаглавленная:Как идеальные офлайн-кошельки все еще могут раскрывать секретные ключи Bitcoin, предлагает атаку, в основе которой лежит криптографический алгоритм биткоина.

Эта математическая формула, известная какECDSA или алгоритм цифровой подписи на основе эллиптических кривых, используется в протоколе Bitcoin для гарантии того, что средства могут быть потрачены только их законными владельцами.

Когда происходит транзакция Bitcoin , она содержит ONE или несколько подписей ECDSA. Количество подписей в транзакции зависит от количества входы что он содержит и используется для доказательства того, что транзакции были авторизованы их законными владельцами. Количество Bitcoin , содержащихся в транзакции, состоит из суммы ее входов.

Атакующий должен сначала создать скомпрометированную версию ECDSA. Это достигается с помощьюклептографический«SETUP» или «Секретно встроенный люк со встроенной защитой», который впервые был описан вСтатья 1997 годаАдам Янг и Моти Юнг. В этой статье описывается похожая атака наАлгоритм цифровой подписи, на котором основан ECDSA.

Каждый раз, когда подписывается транзакция Bitcoin , подпись генерируется частично из случайного числа, известного как «k». Скомпрометированный ECDSA использует определенную формулу для выбора «k», которая, в свою очередь, используется для вычисления дальнейшего значения «k2».

Теперь злоумышленник будет следить за последовательными подписями, подписанными скомпрометированным ECDSA. Поскольку он знает, как изначально вычислялось «k2», он сможет вычислить это значение из двух последовательных подписей. Имея «k2», злоумышленник может работать в обратном направлении, чтобы вычислить «k» и закрытый ключ к этому адресу.

«После того, как злоумышленник узнает «k2» для подписи ECDSA, ему будет легко вычислить закрытый ключ», — сказал Вербюхельн.

Наблюдатель блокчейна – и даже сам злоумышленник – глядя на подписи из этой скомпрометированной эллиптической кривой, не сможет обнаружить никаких ошибок. Однако, в отличие от обычного наблюдателя, злоумышленник будет запускать свою формулу извлечения для каждой подписи в блокчейне, надеясь найти значение «k2» из подписей, сгенерированных его вредоносным ECDSA.

В конце концов злоумышленник наткнется на подписи, созданные его руками, что позволит ему обнаружить «k2» и в конечном итоге получить закрытый ключ адресов.

«Теперь он может хранить извлеченные закрытые ключи и следить за балансом адресов. Он может использовать их для кражи денег в любой момент времени», — сказал Вербюхельн.

Хорошие новости

Вербюхельн сказал, что его статья еще не была отправлена для публикации, хотя он выступит с докладом на эту тему наконференция в Амстердаме на следующей неделе.

Хотя сценарий, описанный Вербюхельном, пугает (по сути, закрытые ключи просочились в блокчейн), хорошая новость заключается в том, что эту атаку сложно осуществить в больших масштабах.

Иван Пустогаров

, научный сотрудник исследовательской группы по криптологии Люксембургского университета, заявил, что попытка незаконного внесения скомпрометированного кода ECDSA, например, в популярный кошелек с открытым исходным кодом, будет обнаружена общественностью.

«В [программном обеспечении] с открытым исходным кодом в больших масштабах... Код будет проанализирован в определенный момент времени, и вредоносная реализация будет обнаружена», - сказал он.

Фербюхельн в целом разделяет эту оценку, хотя и предупреждает, что некоторые фрагменты открытого исходного кода настолько велики и сложны, что даже преданное своему делу сообщество разработчиков может не обнаружить вредоносное дополнение.

И Вербюхельн, и Пустогаров говорят, что наиболее вероятным способом проведения такой атаки будет использование специализированных кошельков, работающих на фирменном программном обеспечении. Устройства, разработанные специально для безопасного холодного хранения монет, например, были бы PRIME кандидатами для такого рода атак.

«Даже если производитель утверждает, что использует открытый исходный код, как вы узнаете, что он действительно использует то, что вы скомпилировали?» — сказал Вербюхельн.

По словам Пустогарова, в статье Фербюхельна описывается атака, связанная с ошибкой «повторяющихся значений r», которую обнаружил хакер-хакер «Johoe».лихо эксплуатировался получить более 500 BTC от поставщика кошелька Blockchain.

«Эти две проблемы связаны. В статье [Фербюхельна] описывается более общий подход, а повторяющиеся значения r — это частный случай», — сказал он.

Вербюхельн сказал, что не знает, была ли описанная им атака действительно осуществлена. Тем не менее, возможность того, что ONE из CORE криптографических алгоритмов, лежащих в основе Bitcoin, может быть хитроумно скомпрометирован, что позволит вору взломать замки даже самых защищенных адресов, представляет собой леденящий душу сценарий.

«Эта атака известна уже много лет для связанных Криптo , поэтому вы T можете знать наверняка», — сказал он.