ریپل آسیبپذیر بودن تعدادی از کلیدهای خصوصی ساخته شده پیش از آگوست ۲۰۱۵ را تایید کرد
بر اساس اعلام شرکت ریپل (XRP) در ۱۶ ژانویه (۲۶ دی)، کلیدهای خصوصی ایجاد شده توسط کتابخانههای نرمافزاری ریپل منتشر شده پیش از ماه آگوست ۲۰۱۵، آسیبپذیر هستند.
تحقیقات مشترک انجامشده توسط بنیاد دفینیتی (DFINITY) و دانشگاه کالیفرنیا حاکی از آن است که برخی از آدرسهای بیت کوین (BTC)، اتریوم (ETH) و ریپل آسیبپذیر هستند.
همانطور که رمزنگارها میدانند، امنیت الگوریتمهای امضای دیجیتال منحنی بیضوی (ECDAs) مورداستفاده در ارزهای دیجیتال ذکرشده، شدیداً به دادههای تصادفی یا همان نانسها وابسته است.
نانس در بحث امنیت عدد اختیاری است که تنها یک مرتبه در یک ارتباط رمزنگاری شده استفاده میشود. اغلب یک عدد تصادفی یا شبهتصادفی است که در پروتکل احرازهویت میآید (برای اطمینان از این که ارتباطات قبلی نمیتوانند در حملات replay مجدداً استفاده شوند).
در این تحقیق آمده است:
بدیهی است که اگر از کلید خصوصی ECDSA برای امضای دو پیغام با نانس امضای مشابه استفاده شود، این کلید خصوصی مستعد پیدا شدن از طریق کرکینگ خواهد بود.
محققان ادعا کردهاند که توانستهاند به لطف نانسهای بایاسشده (نانسهایی که درجهی تصادفی بودنشان کم است)، صدها کلیدخصوصی بیت کوین، مقداری اتریوم، پروتکل اینترنتی اساساچ (SSH) یا پوستهی امن که در سیستمهای مبتنی بر یونیکس برای ارتباط از راه دور استفاده میشود، پروتکل انتقال ابرمتن امن یا HTTPS و یک کلید خصوصی ریپل را هک کنند.
همانطور که محققان اظهار داشتند، عواقب چنین آسیبپذیری گسترده خواهد بود.
در ادامه گفته شده:
در حوزهی ارزهای دیجیتال این نوع کلیدها باعث میشوند ما و یا هر هکر دیگری بتوانیم بر روی سرمایه آدرسهای مربوطه ادعای مالکیت داشته باشیم. همچنین، در حوزهی پروتکلهای SSH و HTTPS این کلیدها سبب میشوند ما و یا هر مهاجم دیگری بتوانیم نقش میزبان نهایی را بازی کنیم.
در این مقاله همچنین ذکر شده که میتوان از چنین آسیبپذیریهایی جلوگیری کرد:
با استفاده از نسل نانسهای ECDSA قطعی که از قبل در کتابخانههای پیشفرض بیت کوین و اتریوم پیادهسازی شده، میتوان از تمامی این حملات جلوگیری کرد.
طبق گفتههای بنیاد ریپل، استفاده از نسل نانسهای قطعی از ماه آگوست ۲۰۱۵ بخشی از برنامهی آنها بوده است. این ویژگی آدرسهای مرتبط با بلاک چینی را که از کتابخانههای نرمافزاری جدیدتر استفاده میکند، از این آسیب مصون میسازد.
با استناد به پژوهش انجام شده، درحالیکه عرصهی رمزنگاری کامل و بینقص نیست، حملات انجامشده به سیستمهای متمرکز مانند صرافیها و سیستمهای تک رایانشی نسبت به کلیدهای خصوصی موفقیت آمیزتر بودهاند. در ادامهی این مقاله آمده است که تنها به ۵۴ دلار بیت کوین و ۱۴ دلار ریپل دسترسی پیدا کردهاند.
بنا بر گزارشهای قبلی، صرافی ارز دیجیتال نیوزلندی کریپتوپیا (Cryptopia)، پس از مورد حمله قرار گرفتن که به خسارتهای قابلتوجهی منجر شد، خدمات خود را به حالت تعلیق درآورده است.
همچنین، طبق اخبار اعلامشده، اخیراً هکرها موفق شدند با استفاده از حملات باج افزاری متعدد ۷۰۵.۰۸ بیت کوین (۲.۵ میلیون دلار) به دست آورند. گفته میشود احتمالاً این هکرها از مجرمان فضای سایبری روسیه بودهاند که به اشتباه تصور میشده از سوی دولت کرهی شمالی حمایت میشوند.
لطفا در صورت مشاهده دیدگاههای حاوی توهین و فحاشی یا خلاف عرف جامعه با گزارش سریع آنها، به ما در حفظ سلامت بستر ارتباطی کاربران کمک کنید.
خواهش میکنم. امیدوارم مفید بوده باشه.