• Главная
  • Brain wallet bruteforce
  • Seed bitcoin bruteforce
  • Decoder
  • Инструментарий
  • Ответы на вопросы
NAKAMOTO SHOP





Биткоин и взлом сид фраз: Verichains выявила новую уязвимость в кошельках с мультиподписью

Взлом сид фраз биткоин кошельков теперь еще проще благодаря открытию компании Verichains.

Они обнаружили серьезную уязвимость в кошельках, использующих протокол MPC, и выявили критическую ошибку в схеме пороговой подписи (TSS).
Хакеры могут легко получить закрытый ключ и доступ к хранимым средствам на таких кошельках, где хранится около $8 млрд в биткоинах.
По словам главного криптографа Verichains, "Теперь хакеры могут получить биткоины, не тратя деньги на GPU и ASIC".
Такой способ взлома не оставляет следов, что делает сложным определение личности хакера.

Подробнее об этом можно прочитать в отчете компании.

Для того, чтобы более подробно описать эту проблему предположим, что у нас есть две транзакции, которые подписаны тремя пользователями с использованием одних и тех же ключей. Тогда мы можем записать следующие уравнения: (1) T1 = k1G + k2G + k3G
(2) T2 = k1G + k2G + k3G

где T1 и T2 - транзакции, k1, k2 и k3 - закрытые ключи каждого пользователя, а G - общедоступный ключ.






Мы также можем записать разницу между этими двумя уравнениями:

(3) T1 - T2 = 0

Если злоумышленник знает значения T1 и T2, он может решить уравнение (3) и получить сумму всех закрытых ключей (k1 + k2 + k3). Зная эту сумму и один из закрытых ключей (например, k1), злоумышленник может легко вычислить остальные ключи и получить доступ к средствам на кошельке.

Чтобы предотвратить такую уязвимость, достаточно было бы использовать мультиподпись, где каждый пользователь подписывает транзакцию только своим собственным закрытым ключом. Например, если у нас есть три пользователя, то для подписания транзакции мы можем использовать следующую формулу:

(4) T = k1G1 + k2G2 + k3G3

где каждый пользователь использует свой собственный закрытый ключ и свой общедоступный ключ. В этом случае, злоумышленник не может решить уравнение (3) и получить сумму всех закрытых ключей, так как он не знает все закрытые ключи.

Но так делали не все.

Алгоритм ECDSA также под угрозой.

Это не первая уязвимость, которую обнаружила Verichains. Они уже сообщали о критических уязвимостях в широко используемом механизме подтверждения консенсуса на базе АВЛ-дерева от протокола Tendermint Core.

Verichains призвала криптоплатформы проявлять осторожность и следить за безопасностью своих кошельков, а также рекомендуем криптоплатформам обратиться к экспертам для внедрения надежных мер безопасности, чтобы избежать уязвимостей в будущем.

Остается добавить только, что прежде, чем загружать большие суммы в кошелек с мультиподписью, сначала разберитесь, как он работает, а главное - узнайте, какие альтернативные способы есть для восстановления доступа к монетам в случае неработоспособности вашего основного софта.

Ну а всем тем кто ищет - Удачи:)


На главную
KirNakamotovich prodaction(c)