Strumento open source identifica le firme deboli del portafoglio Bitcoin

AGGIORNAMENTO (17 ottobre 15:00 BST):In una versione precedente di questo articolo si affermava che Valsorda "attribuiva la colpa della vulnerabilità agli sviluppatori", ma in seguito ha negato tutto.

Filippo Valsorda, sviluppatore di un programma che verifica la vulnerabilità Heartbleed, ha creato un nuovo strumento che, a suo dire, individua le transazioni Bitcoin scarsamente protette.

Le transazioni non sicure possono far trapelare le chiavi private, aumentando il rischio che i Bitcoin degli utenti vengano rubati. Lo strumento Blockchainr di Valsorda è progettato per eliminarli.

Secondo la ricerca di Valsorda, sono noti i difetti riscontrati in alcune implementazioni delAlgoritmo di firma digitale a curva ellittica (ECDSA), che fornisce protezione crittografica per le transazioni Bitcoin , rende determinati portafogli e transazioni vulnerabili agli attacchi.

Sebbene il rischio per i fondi detenuti nei portafogli sia molto basso, Valsorda sostiene che alcuni noti client Bitcoin potrebbero essere più deboli di altri a causa del modo in cui vengono generati numeri casuali.

"Ho applicato un attacco noto al mondo reale e ho mostrato come è possibile utilizzare ECDSA in modo sicuro, T bisogno di numeri casuali, in modo che non fallisca la scansione della blockchain", ha detto Valsorda a Vulture South aIl registro.

La sua ricercarisultatisono stati presentati alL'hacking nella scatola 2014evento in Malesia ieri.

Punto debole della transazione

Valsorda sostiene che, se implementato male, l'ECDSA può dare origine a firme deboli prive di casualità. Se un aggressore riesce a trovare tali transazioni nella blockchain, la debolezza può essere sfruttata per rivelare le chiavi private coinvolte nella transazione.

Un generatore di numeri casuali (RNG) scadente può creare lo stesso numero "casuale" ("k" nella formula sopra) in più di ONE . Quando la transazione viene sottoposta a hash, questo numero viene moltiplicato per lo stesso punto generatore (vale a dire: lo stesso numero casuale) della chiave pubblica.

Poiché ONE è stata rimossa dall'equazione, la chiave privata può essere rivelata invertendo efficacemente l'hash attraverso ulteriori operazioni matematiche.

La probabilità che anche un RNG scadente produca due volte lo stesso numero è molto bassa, ma rappresenta comunque un piccolo rischio.

Durante la ricerca sulla vulnerabilità, Valsorda ritiene di aver trovato prove di furti Bitcoin che sfruttavano la vulnerabilità risalenti al 2013.

SecondoIl registroValsorda ha affermato di aver identificato ONE aggressore che ha rubato 59 BTC nell'agosto 2013.

Ha aggiunto:

"Ho scoperto due Eventi davvero importanti in cui qualcuno ha probabilmente commesso un errore durante la scrittura del proprio client, generando centinaia e centinaia di transazioni vulnerabili."

Portafogli esaminati

Valsorda ha progettato il suo strumento Blockchainr per analizzare la blockchain alla ricerca di transazioni vulnerabili.

Mentre alcuni potrebbero temere che tali informazioni possano essere utilizzate in modo improprio, Valsorda non è riuscito a trovare alcun portafoglio che potesse essere saccheggiato. Tuttavia, ha detto, questo potrebbe essere dovuto al fatto che sono già stati saccheggiati.

Oltre a testare vecchie transazioni, Valsorda ha anche esaminato l'implementazione dell'ECDSA in numerosi portafogli popolari.

Afferma che alcuni provider come Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib e Trezor hanno utilizzato un modello più sicuro e deterministico di generazione di firme. Bitcoin CORE, Blockchain e Armory sono stati trovati meno sicuri.

L'uso di un RNG all'interno del browser è stato, in alcuni casi, collegato a una ridotta sicurezza delle transazioni. La possibilità di generazione di firme duplicate anche su quei portafogli considerati meno sicuri è ancora inferiore all'1%, ha affermato Valsorda.

Conclusione criticata

Tuttavia, non tutti sono d'accordo con le conclusioni. Il CEO e fondatore di Armory, Alan C Reiner, ha detto a CoinDesk:

"Valsorda critica l'uso standardizzato a livello globale di ECDSA, che è implementato e applicato correttamente nel nostro software. Da quando è stato creato, ECDSA ha sempre richiesto un generatore di numeri casuali e tutti i software che lo implementano dovrebbero utilizzare un generatore di numeri casuali. Ciò fa parte delle sue specifiche."

"Il fatto che le persone si stiano spostando verso la 'firma deterministica' è in realtà un miglioramento, per proteggersi dai generatori di numeri casuali deboli", ha affermato. "Ma Armory T funziona su nessuna piattaforma con RNG deboli, quindi la nostra valutazione 'non sicura' dovrebbe essere 0%".

Reiner ha inoltre affermato che Armory segue le specifiche approvate dal NIST per ECDSA, in vigore da 10 anni, "allo stesso modo in cui vengono utilizzate in altri sistemi sicuri su Internet".

Problema con il vecchio browser

CoinDesk ha anche parlato con Blockchain delle affermazioni di Valsorda. Un portavoce ha detto:

"Questo problema è stato segnalato per la prima volta al nostro team di ingegneri nell'agosto 2013. Abbiamo quindi preso provvedimenti per correggere la vulnerabilità creata da una piccola minoranza di utenti che si affidavano a vecchie versioni obsolete del browser web.











Lo strumento My-Wallet di Blockchain si basa non su ONE, ma su tre fonti di entropia per generare chiavi di firma ECDSA: RNG basato su browser, movimento del mouse e interazione con la tastiera e RNG lato server. Questo protegge gli utenti da browser obsoleti con RNG deboli, mantenendo al contempo la possibilità di eseguire un portafoglio completamente lato client e non custodiale, facile da usare su desktop e dispositivi mobili."

Blockchain, ha affermato l'azienda, rimane vigile sui potenziali problemi di sicurezza e continua a monitorare attivamente i potenziali vettori di minaccia generati da software comuni come i browser web.

Blockchain incoraggia tutti gli utenti ad assicurarsi di utilizzare il software più aggiornato per garantire una maggiore sicurezza.

Valsorda ha reso il suo codice disponibile gratuitamente ad altri sviluppatori pubblicandolo suGuida in lineae ha invitato i colleghi sviluppatori ad affrontare il problema, prestando attenzione alla scelta dei generatori di numeri casuali.