cryptopolitan.com
شركة أمن blockchain Slowmist هل قمتdentالضعف في مكتبة تشفير JavaScript المستخدمة على نطاق واسع والتي يمكن أن تعرض مفاتيح المستخدمين الخاصة للمهاجمين.
يؤثر عيب الأمان على المكتبة "الإهليلجية" الشهيرة التي توفر وظائف تشفير المنحنى الإهليلجي للعديد من محافظ العملةdentوأنظمة ITY وتطبيقات Web3.
وفقًا لتحليل ، فإن الضعف يأتي من معالجة المكتبة المعيبة للمدخلات غير القياسية أثناء عمليات التوقيع. يمكن أن يؤدي هذا التدفق إلى أرقام عشوائية متكررة في توقيعات ECDSA. نظرًا لأن أمان هذه التوقيعات يعتمد تمامًا على تفرد هذه القيم العشوائية ، فإن أي تكرار يسمح للمهاجمين باستمتاع حليف Mathe matic بالمفتاح الخاص.
يسمح الضعف بمفتاح خاص tractracمع الحد الأدنى من التفاعل
سبب الخلل هو كيف تولد المكتبة الإهليلجية ما يسميه المشفرين "قيمة K". هذا رقم عشوائي لا ينبغي إعادة استخدامه عبر توقيعات مختلفة. يكشف تحليل Slowmist أن المهاجمين يمكنهم صياغة مدخلات محددة تخدع المكتبة لإعادة استخدام هذه القيمة. "عند توليد K ، يتم استخدام المفتاح الخاص والرسالة كبذور لضمان التفرد تحت مدخلات مختلفة" ، يوضح تقرير Slowmist.
هذا العيب يخلق متجه هجوم خطير لأنه يحتاج إلى الحد الأدنى من التفاعل مع الضحايا. يحتاج المهاجم فقط إلى مراقبة توقيع شرعي واحد ثم خداع الهدف لتوقيع رسالة مصنوعة خصيصًا. بمقارنة هذين التواقيع ، يمكن للمهاجم أن يستمد حليفmaticالمفتاح الخاص للضحية باستخدام صيغة بسيطة نسبيًا.
يعرض التبني على نطاق واسع العديد من تطبيقات Web3 للخطر
إن استخدام المكتبة الإهليلجية من قبل مجتمع JavaScript يجعل التأثير المحتمل للضعف أكبر. يشير Slowmist إلى أن الضعف موجود في جميع الإصدارات حتى 6.6.0 ويؤثر على التطبيقات باستخدام المنحنيات الإهليلجية المختلفة.
أي تطبيق يقوم بتوقيعات ECDSA على المدخلات المقدمة خارجيًا معرض للخطر. يمكن أن يشمل ذلك محافظ العملة المشفرة ، وتطبيقات التمويل اللامركزية ، ومنصات NFT ، وتطبيقات مصادقة Identالمستندة إلى Web3.
يأتي استخدام المكتبة في مساحة العملة الرقمية مع سطح الهجوم. إذا تعرض المفتاح الخاص للخطر ، فسيكون للمهاجمين سيطرة كاملة على الأصول المقابلة. يمكن للمتسللين إجراء عمليات نقل غير مصرح بها أو تغيير سجلات الملكية أو انتحال شخصية المستخدمين في التطبيقات اللامركزية.
نشر Slowmist أيضًا بعض اقتراحات الطوارئ للمستخدمين والمطورين للتخفيف من تهديد الأمن. يجب على المطورين أولاً تحديث المكتبة الإهليلجية إلى الإصدار 6.6.1 أو أعلى منذ أن تمت معالجة الضعف رسميًا في أحدث إصدار.
بصرف النظر عن تحديث المكتبة ، يوصي Slowmist للمطورين بتضمين المزيد من الاحتياطات الأمنية داخل تطبيقاتهم. بالنسبة لمستخدمي التطبيق المتأثرين ، فإن الشاغل الأكبر هو ما إذا كانت مفاتيحهم الخاصة في خطر بالفعل. يوصي Slowmist بأن يتخذ المستخدمون الذين ربما قاموا بتوقيع رسائل ضارة أو غير معروفة الاحتياطات لاستبدال مفاتيحهم الخاصة.
تهدأ هجمات التصيد مع مرحلة الضعف التقنية
على الرغم من أن اكتشاف Slowmist يشير إلى التهديدات من نقاط الضعف التقنية ، إلا أن الأرقام من Sniffer Scam تشير إلى أن هجمات التصيد قد انخفضت لمدة ثلاثة أشهر متتالية. في فبراير 2025 ، فقد 5.32 مليون دولار من قبل 7442 ضحية. ويمثل هذا انخفاضًا بنسبة 48 ٪ من 10.25 مليون دولار في يناير وانخفاض بنسبة 77 ٪ من 23.58 مليون دولار.
🧵 [1/4] 🚨 Scamsniffer February 2025 تقرير التصيد
خسائر فبراير: 5.32 مليون دولار | 7،442 ضحية
خسائر يناير: 10.25 مليون دولار | 9،220 ضحية
(-48 ٪ أمي) pic.twitter.com/hszzslykjc- عملية الاحتيال sniffer | Web3 anti-scam (realscamsniffer) 5 مارس 2025
في حين أن هذا الاتجاه الهبوطي واضح ، فإن عدد من ناقلات الهجوم لا يزال قويًا للغاية. أدى هجمات المبدع حيث يقوم المتسللون بإنشاء عناوين محفظة لا يمكن تمييزها بصريًا عن تلك الشرعية ، مما أدى إلى أعلى خسارة واحدة بقيمة 771000 دولار في ETH.
كانت الهجمات القائمة على التصاريح قريبة من الخسائر بقيمة 611،000 دولار ، تليها موافقات التصيد غير المُعدة على البكالوريوس بقيمة 610،000 دولار في صناديق مختلطة. أكملت مآثر زيادة الطعن من أهم متجهات الهجوم مع خسائر بقيمة 326،000 دولار في ETH.
أكاديمية Cryptopolitan: قريبًا - طريقة جديدة لكسب دخل سلبي مع DeFi في عام 2025. تعرف على المزيد