Метод «Dark Skippy» може викрасти ключі апаратного гаманця Bitcoin

Дослідники безпеки виявили тривожний новий метод, який хакери можуть використовувати для вилучення приватних ключів з апаратного гаманця біткойн навіть за допомогою лише двох підписаних транзакцій, який вони назвали «Dark Skippy».

Уразливість потенційно впливає на всі моделі апаратних гаманців — хоча це може статися лише в тому випадку, якщо зловмисник обманом змусить жертву завантажити шкідливу мікропрограму.

Попередня версія методу вимагала від жертви публікації «десятків» транзакцій у блокчейні. Але нову версію «Dark Skippy» можна виконати, навіть якщо жертва опублікує лише пару транзакцій у блокчейні. Крім того, атаку можна здійснити, навіть якщо користувач покладається на окремий пристрій для генерації вихідних слів.

Звіт про розкриття інформації опублікували Ллойд Фурньє, Нік Ферроу та Робін Лінус 5 серпня. Фурньє та Ферроу є співзасновниками виробника апаратних гаманців Frostsnap, тоді як Лінус є співрозробником протоколів Bitcoin ZeroSync і BitVM.

Згідно зі звітом, мікропрограму апаратного гаманця можна запрограмувати на вбудовування частин початкових слів користувача в «секретні нонси з низькою ентропією», які потім використовуються для підписання транзакцій. Отримані підписи публікуються в блокчейні, коли транзакції підтверджуються. Потім зловмисник може просканувати блокчейн, щоб знайти та записати ці підписи.

Отримані підписи містять лише «загальнодоступні номери», а не частини самих вихідних слів. Однак зловмисник може ввести ці загальнодоступні одноразові номери в алгоритм Кенгуру Полларда, щоб успішно обчислити секретні одноразові номери з їхніх публічних версій.

Алгоритм кенгуру Полларда, відкритий математиком Джоном М. Поллардом, — це алгоритм в обчислювальній алгебрі, який можна використовувати для вирішення задачі дискретного логарифмування.

За словами дослідників, повний набір початкових слів користувача можна отримати за допомогою цього методу, навіть якщо користувач створює лише два підписи зі свого скомпрометованого пристрою, і навіть якщо початкові слова були створені на окремому пристрої.

За темою: Виявлено значну вразливість гаманця, коли користувач ледве повертає 9 BTC

Дослідники заявили, що попередні версії уразливості були задокументовані в минулому. Однак ці старіші версії покладалися на «nonce grinding», набагато повільніший процес, який вимагав значно більше транзакцій для розміщення в блокчейні. Незважаючи на це, дослідники не назвали Dark Skippy новою вразливістю, натомість стверджуючи, що це «новий спосіб використання існуючої вразливості».

Щоб пом’якшити загрозу, у звіті йдеться про те, що виробники апаратних гаманців повинні бути особливо уважними, щоб запобігти потраплянню зловмисного програмного забезпечення на пристрої користувачів, що вони можуть зробити за допомогою таких функцій, як «безпечне завантаження та заблоковані інтерфейси JTAG/SWD […] відтворювані та постачальники». підписані збірки прошивки [,…] [і] різні інші функції безпеки». Крім того, це передбачає, що власники гаманців, можливо, захочуть застосувати методи захисту своїх пристроїв, включаючи «таємні місця, персональні сейфи або, можливо, навіть сумки, захищені від підробки», хоча у звіті також припускається, що ці методи можуть бути «громіздкими».

Інша пропозиція, яку він надає, полягає в тому, щоб програмне забезпечення гаманця використовувало протоколи підпису «захист від ексфільтрації», які запобігають створенню апаратним гаманцем однокодів самостійно.

Раніше уразливості біткоін-гаманця завдавали значних збитків користувачам. У серпні 2023 року фірма з кібербезпеки Slowmist повідомила, що біткойн на суму понад 900 000 доларів США було викрадено через помилку в Libbitcoin Explorer Library. У листопаді Unciphered повідомив, що біткойни на суму 2,1 мільярда доларів, які зберігаються у старих гаманцях, можуть бути вичерпані зловмисниками через недолік у програмному забезпеченні гаманця BitcoinJS.