Pesquisa: Hackers podem instalar backdoor em armazenamento a frio de Bitcoin

Um pesquisador de segurança descobriu que até mesmo uma carteira de Bitcoin em armazenamento frio, amplamente considerada a maneira mais segura de armazenar a moeda digital, pode vazar suas chaves privadas para um invasor.

Um invasor pode fazer engenharia reversa nas chaves privadas de uma carteira comprometida a partir de informações tão pequenas quanto uma única transação emitida por essa carteira.

O ataque é particularmente preocupante porque seria bem-sucedido mesmo que a vítima mantivesse uma carteira em uma máquina com air gap e sem conexão à Internet – oumesmo no espaço, como o provedor de carteira Xapo está tentando fazer – de acordo com o artigo de Stephan Verbücheln.

Verbücheln, pesquisador da Universidade HumboldtInstituto de Ciência da Computaçãoem Berlim, disse:

"O invasor só precisa observar o blockchain até que duas assinaturas [comprometidas] apareçam... as assinaturas afetadas não são detectáveis por ninguém além do invasor."

A sabedoria convencional diz que moedas armazenadas a frio estão protegidas de ataques porque as chaves privadas nunca entram em contato com a Internet ou qualquer outra rede.

Em geral, isso é verdade. Mesmo que o dispositivo de armazenamento frio pudesse ser comprometido por malware, as chaves privadas roubadas não seriam transmitidas a um ladrão porque ele T está conectado à Internet.

Como funciona

O artigo de Verbücheln, intitulado,Como carteiras offline perfeitas ainda podem vazar chaves privadas de Bitcoin,define um ataque centrado no algoritmo criptográfico do bitcoin.

Esta fórmula matemática, conhecida comoECDSA ou o Algoritmo de Assinatura Digital de Curva Elíptica, é usado no protocolo Bitcoin para garantir que os fundos só possam ser gastos por seus legítimos proprietários.

Quando uma transação de Bitcoin ocorre, ela contém uma ou mais assinaturas ECDSA. O número de assinaturas em uma transação depende do número de entradas que ele contém e são usados ​​para provar que as transações foram autorizadas por seus legítimos donos. A quantidade de Bitcoin contida em uma transação consiste na soma de suas entradas.

O invasor deve primeiro criar uma versão comprometida do ECDSA. Isso é obtido com umcleptográfico'SETUP', ou 'Secretly Embedded Trapdoor with Embedded Protection', que foi descrito pela primeira vez em umArtigo de 1997por Adam Young e Moti Yung. Esse artigo descreveu um ataque semelhante aoAlgoritmo de Assinatura Digital, no qual o ECDSA se baseia.

Cada vez que uma transação de Bitcoin é assinada, a assinatura é gerada parcialmente a partir de um número aleatório conhecido como 'k'. O ECDSA comprometido usa uma fórmula específica para selecionar 'k', que por sua vez é usado para calcular um valor adicional 'k2'.

O invasor agora observará assinaturas consecutivas assinadas pelo ECDSA comprometido. Como ele sabe como 'k2' foi computado em primeiro lugar, ele será capaz de calcular esse valor a partir de duas assinaturas consecutivas. Com 'k2' em mãos, o invasor pode trabalhar de trás para frente para calcular 'k' e a chave privada para esse endereço.

"Depois que o invasor sabe 'k2' para uma assinatura ECDSA, é fácil para ele calcular a chave privada", disse Verbücheln.

Um observador do blockchain – e até mesmo o próprio atacante – olhando para assinaturas dessa curva elíptica comprometida não seria capaz de detectar nenhuma falha. Ao contrário de um observador geral, no entanto, o atacante estaria executando sua fórmula de extração em cada assinatura no blockchain, esperando encontrar o valor 'k2' de assinaturas geradas por seu ECDSA malicioso.

Por fim, o invasor descobrirá as assinaturas assinadas por sua obra, o que lhe permitirá descobrir 'k2' e, por fim, derivar a chave privada dos endereços.

"Ele agora pode armazenar as chaves privadas extraídas e observar o saldo dos endereços. Ele pode usá-los para roubar dinheiro a qualquer momento", disse Verbücheln.

As boas notícias

Verbücheln disse que seu artigo ainda não foi submetido para publicação, embora ele esteja dando uma palestra sobre o assunto em umconferência em Amsterdãsemana que vem.

Embora o cenário descrito por Verbücheln seja assustador – chaves privadas essencialmente vazaram para o blockchain – a boa notícia é que é um ataque difícil de realizar em larga escala.

Ivan Pustogarov

, um pesquisador do grupo de pesquisa em criptologia da Universidade de Luxemburgo, disse que uma tentativa de contrabandear código ECDSA comprometido para uma carteira popular de código aberto, por exemplo, seria descoberta pelo público.

"Em [software] de código aberto em larga escala... O código será analisado em algum momento e a implementação maliciosa será detectada", disse ele.

Verbücheln compartilha amplamente dessa avaliação, embora alerte que alguns trechos de código-fonte aberto são tão grandes e complexos que até mesmo uma comunidade dedicada de desenvolvedores pode não detectar uma adição maliciosa.

Tanto Verbücheln quanto Pustogarov dizem que a maneira mais provável de tal ataque ser montado seria por meio de serviços de carteira dedicados executando software proprietário. Dispositivos projetados especificamente para armazenamento a frio seguro de moedas, por exemplo, seriam os PRIME candidatos para esse tipo de ataque.

"Mesmo que o fabricante alegue que executa código de código aberto, como saber se ele está realmente executando o que você compilou?", disse Verbücheln.

De acordo com Pustogarov, o artigo de Verbücheln descreve um ataque relacionado à falha de 'valores r repetidos' que o hacker white-hat 'Johoe'famosamente explorado para obter mais de 500 BTC do provedor de carteira Blockchain.

"Essas duas questões estão relacionadas. O artigo [Verbücheln] descreve uma abordagem mais geral, e valores r repetidos são um subcaso", disse ele.

Verbücheln disse que não sabe se o ataque que ele descreveu foi realmente realizado. No entanto, a possibilidade de que um dos algoritmos criptográficos CORE que sustentam o Bitcoin possa ser astutamente comprometido, permitindo que um ladrão arrombe a fechadura até mesmo dos endereços mais seguros, apresenta um cenário assustador.

"Esse ataque é conhecido há muitos anos em sistemas de Cripto relacionados, então T é possível ter certeza", disse ele.