ریپل آسیب‌پذیر بودن تعدادی از کلیدهای خصوصی ساخته شده پیش از آگوست ۲۰۱۵ را تایید کرد

بر اساس اعلام شرکت ریپل (XRP) در ۱۶ ژانویه (۲۶ دی)، کلیدهای خصوصی‌ ایجاد شده توسط کتاب‌خانه‌های نرم‌افزاری ریپل منتشر شده پیش از ماه آگوست ۲۰۱۵، آسیب‌پذیر هستند.

تحقیقات مشترک انجام‌شده توسط بنیاد دفینیتی (DFINITY) و دانشگاه کالیفرنیا حاکی از آن است که برخی از آدرس‌های بیت کوین (BTC)، اتریوم (ETH) و ریپل آسیب‌پذیر هستند.

همان‌طور که رمزنگارها می‌دانند، امنیت الگوریتم‌های امضای دیجیتال منحنی بیضوی (ECDAs) مورداستفاده در ارزهای دیجیتال ذکرشده، شدیداً به داده‌های تصادفی یا همان نانس‌ها وابسته است.

نانس‌ در بحث امنیت عدد اختیاری است که تنها یک مرتبه در یک ارتباط رمزنگاری شده استفاده می‌شود. اغلب یک عدد تصادفی یا شبه‌تصادفی است که در پروتکل احرازهویت می‌آید (برای اطمینان از این که ارتباطات قبلی نمی‌توانند در حملات replay مجدداً استفاده شوند).

در این تحقیق آمده است:

بدیهی است که اگر از کلید خصوصی ECDSA برای امضای دو پیغام با نانس امضای مشابه استفاده شود، این کلید خصوصی مستعد پیدا شدن از طریق کرکینگ خواهد بود.

محققان ادعا کرده‌اند که توانسته‌اند به لطف نانس‌های بایاس‌شده (نانس‌هایی که درجه‌ی تصادفی بودنشان کم است)، صدها کلیدخصوصی بیت کوین، مقداری اتریوم، پروتکل اینترنتی اس‌اس‌اچ (SSH) یا پوسته‌ی امن که در سیستم‌های مبتنی بر یونیکس برای ارتباط از راه دور استفاده می‌شود، پروتکل انتقال ابرمتن امن یا HTTPS و یک کلید خصوصی ریپل را هک کنند.

همان‌طور که محققان اظهار داشتند، عواقب چنین آسیب‌پذیری گسترده خواهد بود.

در ادامه گفته شده:

در حوزه‌ی ارزهای دیجیتال این نوع کلیدها باعث می‌شوند ما و یا هر هکر دیگری بتوانیم بر روی سرمایه آدرس‌های مربوطه ادعای مالکیت داشته باشیم. همچنین، در حوزه‌ی پروتکل‌های SSH و HTTPS این کلیدها سبب می‌شوند ما و یا هر مهاجم دیگری بتوانیم نقش میزبان‌ نهایی را بازی کنیم.

در این مقاله همچنین ذکر شده که می‌توان از چنین آسیب‌پذیری‌هایی جلوگیری کرد:

 با استفاده از نسل نانس‌های ECDSA قطعی که از قبل در کتاب‌خانه‌های پیش‌فرض بیت کوین و اتریوم پیاده‌سازی شده، می‌توان از تمامی این حملات جلوگیری کرد.

طبق گفته‌های بنیاد ریپل، استفاده از نسل نانس‌های قطعی از ماه آگوست ۲۰۱۵ بخشی از برنامه‌ی آن‌ها بوده است. این ویژگی آدرس‌های مرتبط با بلاک چینی را که از کتاب‌خانه‌های نرم‌افزاری جدیدتر استفاده می‌کند، از این آسیب مصون می‌سازد.

با استناد به پژوهش انجام شده، درحالی‌که عرصه‌ی رمزنگاری کامل و بی‌نقص نیست، حملات انجام‌شده به سیستم‌های متمرکز مانند صرافی‌ها و سیستم‌های تک رایانشی نسبت به کلیدهای خصوصی موفقیت آمیزتر بوده‌اند. در ادامه‌ی این مقاله آمده است که تنها به ۵۴ دلار بیت کوین و ۱۴ دلار ریپل دسترسی پیدا کرده‌اند.

بنا بر گزارش‌های قبلی، صرافی ارز دیجیتال نیوزلندی کریپتوپیا (Cryptopia)، پس از مورد حمله قرار گرفتن که به خسارت‌های قابل‌توجهی منجر شد، خدمات خود را به حالت تعلیق درآورده است.

همچنین، طبق اخبار اعلام‌شده، اخیراً هکرها موفق شدند با استفاده از حملات باج افزاری متعدد ۷۰۵.۰۸ بیت کوین (۲.۵ میلیون دلار) به دست آورند. گفته می‌شود احتمالاً این هکرها از مجرمان فضای سایبری روسیه بوده‌اند که به اشتباه تصور می‌شده از سوی دولت کره‌ی شمالی حمایت می‌شوند.

منبع: cointelegraph