Eine kritische Sicherheitsanfälligkeit ist aufgetaucht. SlowMist hat eine Schwachstelle in einer weit verbreiteten Verschlüsselungsbibliothek entdeckt, die möglicherweise zu einem Leck privater Schlüssel führen könnte. Diese Entdeckung betrifft vor allem Anwendungen, die auf diese Bibliothek bauen, wie Krypto-Wallets und Identitäts-Authentifizierungssysteme.
Was ist die Schwachstelle?
Die Sicherheitsfirma SlowMist ermittelte diese schwerwiegende Anfälligkeit in der JavaScript-Elliptic-Verschlüsselungsbibliothek. Diese Bibliothek kommt unter anderem in Tools wie MetaMask, Trust Wallet, Ledger und Trezor zum Einsatz. Laut SlowMist ist die spezielle Schwachstelle so zu beschreiben, dass Angreifer durch manipulierte Eingaben während eines einzelnen Signaturvorgangs private Schlüssel extrahieren können. Diese Möglichkeit könnte ihnen uneingeschränkten Zugriff auf digitale Vermögenswerte oder persönliche Identitätsdaten eines Opfers verschaffen.
Die Risikoanalyse
Mithilfe eines einzigen fehlerhaften Signaturvorgangs könnten Angreifer private Schlüssel abgreifen. Dies bedeutet, dass sie möglicherweise die Kontrolle über Ihre digitalen Assets übernehmen können, was äußerst bedrohlich ist. Die Schwachstelle trägt die Kennung GHSA-vjh7-7g9h-fjfh und wurde aufgrund ihrer potenziellen Auswirkungen auf Nutzer und Systembetreiber sofort ernst genommen.
Wie funktioniert das Zahlungssystem?
Um das zu verstehen, sollten wir näher auf den typischen Prozess des Elliptischen Kurven-Digital-Signatur-Algorithmus (ECDSA) eingehen. Dieser Prozess erfordert einige Parameter, um eine digitale Signatur zu generieren. Dazu zählen die Nachricht, der private Schlüssel und eine einzigartige Zufallszahl (k). Die Nachricht wird gehasht und anschließend mit dem privaten Schlüssel signiert. Das Zufallszeichen k sollte sicherstellen, dass jede Signatur unterschiedlich bleibt, selbst wenn die gleiche Nachricht mehrmals signiert wird.
Kritische Schwachstellen in der Vergangenheit
Leider ist die wiederholte Verwendung von k in verschiedenen Nachrichten bereits in der Vergangenheit zu Schwachstellen geführt. Eine besonders bekannte Sicherheitsverletzung fand im Juli 2021 statt, als das Anyswap-Protokoll kompromittiert wurde. Damals nutzen Angreifer schwache ECDSA-Signaturen aus, um gefälschte Signaturen zu erstellen und auf diese Weise Gelder im Wert von etwa 8 Millionen Dollar abzuheben. Solche Vorfälle sollten alle Nutzer wachsam machen.
Was können Sie tun?
Es ist unerlässlich, sich der Risiken bewusst zu sein und proaktive Maßnahmen zu ergreifen. Wenn Sie Krypto-Wallets oder andere damit verbundene Technologien nutzen, sollten Sie stets sicherstellen, dass Sie die neuesten Updates und Sicherheitspatches implementiert haben. Überwachen Sie Ihre digitalen Assets regelmäßig und vermeiden Sie unbekannte oder unsichere Anwendungen.
Bleiben Sie informiert und schützen Sie Ihre digitalen Vermögenswerte, indem Sie bewährte Sicherheitspraktiken befolgen.
