Ferramenta de código aberto identifica assinaturas fracas de carteiras de Bitcoin

ATUALIZAÇÃO (17 de outubro 15:00 BST):Uma versão anterior deste artigo afirmou que Valsorda "colocou a culpa pela vulnerabilidade nos desenvolvedores", mas ele negou isso desde então.

O desenvolvedor por trás de um programa que verifica a vulnerabilidade Heartbleed, Filippo Valsorda, criou uma nova ferramenta que, segundo ele, rastreia transações de Bitcoin mal protegidas.

Transações inseguras podem vazar chaves privadas, aumentando o risco de roubo do Bitcoin de um usuário, e a ferramenta Blockchainr da Valsorda foi projetada para eliminá-los.

Segundo pesquisa de Valsorda, falhas conhecidas foram encontradas em algumas implementações doAlgoritmo de assinatura digital de curva elíptica (ECDSA), que fornece proteção criptográfica para transações de Bitcoin , torna certas carteiras e transações vulneráveis ​​a ataques.

Embora o risco para fundos mantidos em carteiras seja muito baixo, Valsorda afirma que certos clientes de Bitcoin bem conhecidos podem ser mais fracos do que outros devido à maneira como os números aleatórios são gerados.

"Apliquei um ataque conhecido ao mundo real e mostrei como você pode usar o ECDSA de uma forma segura que T precisa de números aleatórios para que não falhe na varredura da cadeia de blocos", disse Valsorda ao Vulture South emO Registro.

Sua pesquisadescobertasforam apresentados noHack na caixa 2014evento na Malásia ontem.

Ponto fraco da transação

Valsorda argumenta que, se mal implementado, o ECDSA pode resultar em assinaturas fracas sem aleatoriedade. Se um invasor puder encontrar tais transações na cadeia de blocos, a fraqueza pode ser explorada para revelar as chaves privadas envolvidas na transação.

Um gerador de números aleatórios (RNG) ruim pode criar o mesmo número 'aleatório' ('k' na fórmula acima) em mais de uma ocasião. Quando a transação é hash, esse número é multiplicado pelo mesmo ponto gerador (ou seja: mesmo número aleatório) que a chave pública.

Como uma incógnita foi removida da equação, a chave privada pode ser revelada revertendo efetivamente o hash por meio de operações matemáticas adicionais.

A chance de um RNG ruim produzir um número idêntico duas vezes é muito baixa, mas ainda representa um pequeno risco.

Ao pesquisar a vulnerabilidade, Valsorda acredita ter encontrado evidências de roubos de Bitcoin explorando a vulnerabilidade desde 2013.

De acordo comO RegistroValsorda disse que identificou um invasor que roubou 59 BTC em agosto de 2013.

Ele acrescentou:

"Encontrei dois Eventos realmente grandes em que alguém provavelmente cometeu um erro ao escrever para seu cliente, o que gerou centenas e centenas de transações vulneráveis."

Carteiras examinadas

Valsorda projetou sua ferramenta Blockchainr para escanear a cadeia de blocos em busca de transações vulneráveis.

Enquanto alguns podem temer que tais informações possam ser mal utilizadas, Valsorda não conseguiu encontrar nenhuma carteira que pudesse ser invadida. No entanto, ele disse que isso pode ser porque elas já foram invadidas.

Além de testar transações antigas, Valsorda também examinou a implementação do ECDSA em diversas carteiras populares.

Ele alega que alguns provedores como Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib e Trezor usaram um modelo determinístico e mais seguro de geração de assinaturas. Bitcoin CORE, Blockchain e Armory foram considerados menos seguros.

O uso de um RNG no navegador foi, em alguns casos, vinculado à redução da segurança das transações. A chance de geração de assinatura duplicada, mesmo nas carteiras consideradas menos seguras, ainda é inferior a 1%, disse Valsorda.

Conclusão criticada

Nem todos concordam com as conclusões, no entanto. O CEO e fundador da Armory, Alan C Reiner, disse ao CoinDesk:

"Valsorda está criticando o uso globalmente padronizado do ECDSA, que é implementado e aplicado corretamente em nosso software. Desde que o ECDSA foi criado, ele sempre exigiu um gerador de números aleatórios e todo software que o implementa deve usar um gerador de números aleatórios. Isso faz parte de sua especificação."

"O fato de as pessoas estarem migrando para 'assinatura determinística' é realmente um aprimoramento, para proteger contra geradores de números aleatórios fracos", ele disse. "Mas o Armory T roda em nenhuma plataforma com RNGs fracos, então nossa classificação 'insegura' deve ser 0%."

Reiner disse ainda que o Armory segue a especificação aprovada pelo NIST para ECDSA, que está em vigor há 10 anos, "da mesma forma que é usada em outros sistemas seguros na Internet".

Problema com navegador antigo

A CoinDesk também falou com a Blockchain sobre as alegações de Valsorda. Um porta-voz disse:

"Esse problema chamou a atenção da nossa equipe de engenharia pela primeira vez em agosto de 2013. Tomamos medidas para corrigir a vulnerabilidade criada por uma pequena minoria de usuários que usavam versões antigas e desatualizadas de navegadores da web.











A ferramenta My-Wallet da Blockchain depende não de uma, mas de três fontes de entropia para gerar chaves de assinatura ECDSA: o RNG baseado em navegador, movimento do mouse e interação do teclado, e um RNG do lado do servidor. Isso protege os usuários de navegadores desatualizados com RNGs fracos, mantendo a capacidade de executar uma carteira totalmente do lado do cliente, não custodial, que é fácil de usar em seus dispositivos móveis e de mesa."

A empresa disse que o Blockchain continua vigilante sobre possíveis problemas de segurança e continua monitorando ativamente possíveis vetores de ameaças gerados por softwares comuns, como navegadores da web.

O Blockchain encorajou todos os usuários a se certificarem de que estão executando o software mais atualizado para garantir melhor segurança.

Valsorda disponibilizou seu código gratuitamente para outros desenvolvedores, publicando-o emGitHube apelou aos colegas desenvolvedores para que abordassem a questão, tomando cuidado na escolha dos geradores de números aleatórios.