La società di sicurezza blockchain SlowMist ha identificato una vulnerabilità in una libreria crittografica JavaScript ampiamente utilizzata che potrebbe esporre le chiavi private degli utenti agli aggressori.
La falla di sicurezza colpisce la popolare libreria “ellittica” che fornisce funzioni di crittografia a curva ellittica per diversi portafogli di criptovaluta, sistemi di identità e applicazioni Web3.
Secondo l'analisi di SlowMist, la vulnerabilità deriva dalla gestione errata da parte della libreria di input non standard durante le operazioni di firma. Questo flusso può portare a numeri casuali ripetuti nelle firme ECDSA. Poiché la sicurezza di queste firme dipende interamente dall'unicità di questi valori casuali, qualsiasi ripetizione consente agli aggressori di ricavare matematicamente la chiave privata.
La vulnerabilità consente l'estrazione della chiave privata con un'interazione minima
La ragione del difetto sta nel modo in cui la libreria ellittica genera quello che i crittografi chiamano il “valore k”. Si tratta di un numero casuale che non dovrebbe mai essere riutilizzato per firme diverse. L'analisi di SlowMist rivela che gli aggressori possono creare input specifici che inducono la libreria a riutilizzare questo valore. "Quando si genera k, la chiave privata e il messaggio vengono utilizzati come semi per garantire l'unicità sotto diversi input", spiega il rapporto di SlowMist.
Questo difetto crea un vettore di attacco pericoloso perché richiede un'interazione minima con le vittime. Un utente malintenzionato deve solo osservare una firma legittima e quindi ingannare la vittima inducendola a firmare un messaggio appositamente predisposto. Confrontando queste due firme, l'aggressore può ricavare matematicamente la chiave privata della vittima utilizzando una formula relativamente semplice.
L'adozione diffusa mette a rischio numerose applicazioni Web3
L'utilizzo della libreria ellittica da parte della comunità JavaScript aumenta il potenziale impatto della vulnerabilità. SlowMist indica che la vulnerabilità è presente in tutte le versioni fino alla 6.6.0 e colpisce le applicazioni che utilizzano varie curve ellittiche.
Qualsiasi applicazione che esegue firme ECDSA su input forniti esternamente è a rischio. Ciò potrebbe includere portafogli di criptovaluta, app finanziarie decentralizzate, piattaforme NFT e app di autenticazione dell’identità basate su Web3.
L’utilizzo della biblioteca nello spazio della valuta digitale prevede una superficie di attacco. Se la chiave privata viene compromessa, gli aggressori hanno il pieno controllo sugli asset corrispondenti. Gli hacker possono eseguire trasferimenti non autorizzati, alterare i record di proprietà o impersonare utenti in app decentralizzate.
SlowMist ha anche pubblicato alcuni suggerimenti di emergenza per utenti e sviluppatori per mitigare la minaccia alla sicurezza. Gli sviluppatori dovrebbero prima di tutto aggiornare la libreria ellittica alla versione 6.6.1 o successiva poiché la vulnerabilità è stata risolta ufficialmente nella versione più recente.
Oltre ad aggiornare la libreria, SlowMist consiglia agli sviluppatori di includere ulteriori precauzioni di sicurezza nelle loro app. Per gli utenti delle app interessate, la preoccupazione maggiore è se le loro chiavi private potrebbero già essere a rischio. SlowMist consiglia agli utenti che hanno eventualmente firmato messaggi dannosi o sconosciuti di prendere la precauzione di sostituire le proprie chiavi private.
Gli attacchi di phishing diminuiscono man mano che le vulnerabilità tecniche diventano centrali
Sebbene la scoperta di SlowMist indichi minacce derivanti da vulnerabilità tecnologiche, i dati di Scam Sniffer indicano che gli attacchi di phishing convenzionali sono diminuiti per tre mesi consecutivi. Nel febbraio 2025, 7.442 vittime hanno perso 5,32 milioni di dollari. Ciò rappresenta un calo del 48% rispetto ai 10,25 milioni di dollari di gennaio e un calo del 77% rispetto ai 23,58 milioni di dollari di dicembre.
[1/4] Rapporto sul phishing di ScamSniffer febbraio 2025
Perdite di febbraio: 5,32 milioni di dollari | 7.442 vittime
Perdite di gennaio: 10,25 milioni di dollari | 9.220 vittime
(-48% su base mensile) pic.twitter.com/HsZZSlYKJC— Sniffatore di truffe | Web3 Anti-truffa (@realScamSniffer) 5 marzo 2025
Sebbene questa tendenza al ribasso sia evidente, numerosi vettori di attacco sono ancora estremamente potenti. Gli attacchi con indennità di autorizzazione in cui gli hacker creano indirizzi di portafoglio visivamente indistinguibili da quelli legittimi, hanno comportato la perdita singola più alta del valore di $ 771.000 in ETH.
Seguono gli attacchi basati sui permessi, con perdite per 611.000 dollari, seguiti da approvazioni di phishing non revocate su BSC per un valore di 610.000 dollari di fondi sottratti. Gli exploit increaseApproval hanno completato i principali vettori di attacco con perdite per un valore di 326.000 dollari in ETH.
Cryptopolitan Academy: vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con la DeFi nella nostra prossima webclass. Salva il tuo posto