- 14,006
- 22
- 13 Ноя 2022
Используемый в миллиардах IoT-устройств и криптокошельках популярный микроконтроллер содержит серьезные ошибки, которые угрожают кражей биткоинов. Об этом сообщают эксперты Для просмотра ссылки Войди
Уязвимость, получившая идентификатор Для просмотра ссылки Войди
После взлома злоумышленники могут несанкционированно подписывать криптотранзакции и удаленно красть закрытые ключи.
Установленный в аппаратных кошельках вроде Blockstream Jade микроконтроллер также имеет недостаточную энтропию генератора псевдослучайных чисел (PRNG), используемого для создания подписи транзакции. Это позволяет злоумышленникам угадывать пары ключей методом прямого подбора.
В ходе экспериментов специалисты проверили векторы возможных атак через выявленные ошибки. Реализация скриптов позволила:
- генерировать недействительные закрытые ключи, используя недостатки PRNG;
- подделать биткоин-подписи, благодаря некорректному хешированию;
- извлечь приватные ключи с помощью атак малых групп и манипулирования криптографическими операциями ECC;
- сгенерировать фейковые открытые ключи через эксплуатацию неоднозначности координаты Y на кривой ECC.
«Внедрение надежных механизмов защиты и регулярные обновления безопасности являются ключевыми элементами для обеспечения защищенной и надежной работы цифровых систем. Необходимость повышения безопасности в устройствах и сетях, таких как ESP32, становится все более актуальной», — заключили специалисты.
Напомним, в марте производитель аппаратных криптокошельков Trezor Для просмотра ссылки Войди
- Источник новости
- forklog.com
