Cointime

Cointime

Download App
iOS & Android

Phân tích một cuộc tấn công nửa ca rô vào Bitcoin và Ethereum

Sylvain Pelissier

Validated Project

Tác giả: Sylvain Pelissier Biên dịch: Cointime.com 237

Các chuỗi khối công khai có một lịch sử lâu dài về các cuộc tấn công vào chữ ký ECDSA của chúng. Vì tất cả các giao dịch đều được hiển thị công khai, điều này cung cấp một nền tảng thử nghiệm hoàn hảo cho các cuộc tấn công bằng mật mã. Một cuộc tấn công mạng có tên "Trường hợp tò mò về các số ngẫu nhiên ECDSA nửa Bitcoin" gần đây đã được xuất bản và thử nghiệm trên Bitcoin. Là một đội Thụy Sĩ yêu thích nước xốt giảm một nửa và giảm một nửa, chúng tôi phải điều tra cuộc tấn công này. Chúng tôi thấy rằng cuộc tấn công trước đó của chúng tôi, "số ngẫu nhiên đa thức", cũng hoạt động với cách tạo số ngẫu nhiên ECDSA này. Trong bài báo này, chúng tôi giải thích cách thực hiện và chỉ ra cách chúng tôi so sánh với kết quả thu được trong bài báo.

cuộc tấn công trước

Để ký một thông điệp, ECDSA sử dụng một giá trị được gọi là nonce. Nonce phải được tạo ngẫu nhiên và phải là duy nhất cho mỗi tin nhắn được ký. Đối với các đường cong secp256k1 của Bitcoin và Ethereum, các giá trị nonce điển hình như sau:

Một cạm bẫy phổ biến nổi tiếng và được nghiên cứu kỹ lưỡng của ECDSA là tái sử dụng nonce. Như tên ngụ ý, nếu một nonce được sử dụng lại trong các chữ ký khác nhau, thì khóa riêng tư có thể được phục hồi từ các chữ ký đó; rõ ràng, cuộc tấn công đầu tiên được áp dụng cho các chuỗi khối là cuộc tấn công tái sử dụng nonce. Ngay sau khi hai tin nhắn khác nhau được ký với cùng một nonce, khóa riêng tư sẽ bị xâm phạm. Vấn đề này thường được giải quyết bằng cách tạo các số ngẫu nhiên xác định theo RFC 6979.

Tuy nhiên, các nonce của ECDSA rất quan trọng đến mức ngay cả sự sai lệch trong thế hệ của chúng cũng có thể dẫn đến việc khôi phục khóa riêng tư. Do đó, các cuộc tấn công dựa trên mạng khéo léo hơn sau đó đã được áp dụng trên các chuỗi khối công khai. Các cuộc tấn công này có thể khôi phục các nonce có độ dài ngắn hơn dự kiến, với độ dài 64, 110, 128 và 160 bit. Ví dụ: các số ngẫu nhiên được tạo như sau dễ bị tấn công dựa trên mạng:

Nonce càng nhỏ, kích thước của mạng được sử dụng cho cuộc tấn công càng nhỏ và số lượng chữ ký cần thiết cho một cuộc tấn công thành công càng nhỏ. Theo bài viết về Số ngẫu nhiên thiên vị, hai số ngẫu nhiên 128 bit và mạng 3 chiều cho xác suất thành công là 75% (khôi phục khóa riêng tư). Khi sử dụng ba số ngẫu nhiên 170 bit và mạng 4 chiều, chúng ta có thể có xác suất thành công là 95%, v.v. Một biến thể của cuộc tấn công cũng có thể áp dụng để khám phá các nonce có tiền tố và hậu tố dùng chung. Ví dụ: các số ngẫu nhiên được tạo như sau đều dễ bị tấn công và các cấu trúc hậu tố phổ biến đã nói ở trên:

đa giác

Một cách khác để tấn công ECDSA là giả định mối quan hệ đại số giữa các số ngẫu nhiên. Nhóm của chúng tôi đã đề xuất một cuộc tấn công Polynonce, giả định rằng có một mối quan hệ đa thức giữa các hệ số a_i chưa biết, ở dạng sau:

k_{n+1} = a_1 k_n + a_0

hoặc

k_{n+1} = a_2 k_n^2 + a_1 k_n + a_0

Sau đó, một cuộc tấn công Polynonce có thể khôi phục đại số khóa riêng với xác suất thành công 100%, nhưng yêu cầu 4 chữ ký trong trường hợp tuyến tính, 5 chữ ký trong trường hợp bậc hai, v.v. Cuộc tấn công chủ yếu dựa vào việc giải các phương trình đa thức, vì vậy nó rất nhanh so với các cuộc tấn công dựa trên mạng. Để biết thêm chi tiết, cuộc tấn công sẽ được trình bày tại hội nghị DEFCON sắp tới.

chữ ký đơn

Tất cả các cuộc tấn công trước đây đều yêu cầu ít nhất hai chữ ký khác nhau từ cùng một khóa riêng. Tuy nhiên, các ví như Ledger ký giao dịch bằng một khóa riêng và sau đó thay đổi khóa riêng. Điều này sẽ giải thích tại sao nhiều địa chỉ công khai Bitcoin hiện chỉ được sử dụng một lần. Dưới đây là biểu đồ dữ liệu chuyển Bitcoin (kể từ ngày 5 tháng 9 năm 2022, khối 752759) được vẽ trên thang logarit giới hạn cho các giao dịch P2PKH:

Điều này cho thấy 92% khóa công khai được sử dụng cho các giao dịch P2PKH chỉ được sử dụng một lần. Tính năng này chủ yếu dành cho quyền riêng tư, nhưng gián tiếp cũng bảo vệ chống lại các cuộc tấn công trước đó. Đối với Ethereum, tình hình có một chút khác biệt. Chúng tôi đã phân tích 1759432087 chữ ký từ 151429561 khóa duy nhất và tạo một biểu đồ tỷ lệ tuyến tính:

Điều này cho thấy 92% khóa công khai được sử dụng cho các giao dịch P2PKH chỉ được sử dụng một lần. Tính năng này chủ yếu dành cho quyền riêng tư, nhưng gián tiếp cũng bảo vệ chống lại các cuộc tấn công trước đó. Đối với Ethereum, tình hình có một chút khác biệt. Chúng tôi đã phân tích 1759432087 chữ ký từ 151429561 khóa duy nhất và tạo một biểu đồ tỷ lệ tuyến tính:

Đây là một tình huống hoàn toàn khác: 42% khóa công khai chỉ được sử dụng cho một chữ ký, 22% cho hai chữ ký, 13% cho ba chữ ký, v.v. Do đó, có vẻ như các phương pháp bảo vệ quyền riêng tư có ít hoặc không có ứng dụng trên Ethereum.

nửa nửa số ngẫu nhiên

Một phương pháp tấn công mới đã xuất hiện gần đây tạo ra một số vấn đề khi nonce được nối với nửa trên của khóa riêng tư bằng cách sử dụng nửa trên của hàm băm thông báo. Nói cách khác, số ngẫu nhiên k có thể được biểu diễn như sau:

k = h_{msb} || d_{msb}

Điểm mới của cuộc tấn công này là nó cho phép khôi phục khóa riêng d từ một chữ ký duy nhất. Tương tự như các cuộc tấn công dựa trên mạng trước đây, một biểu thức cho số ngẫu nhiên k được thêm vào công thức ECDSA và được sắp xếp lại để tạo thành một thể hiện của bài toán ẩn số. Ví dụ sau đó được giải quyết bằng thuật toán BKZ. Kỹ thuật này rất mạnh vì chỉ cần một chữ ký duy nhất để tấn công các giao dịch được cấp bằng khóa riêng chỉ được sử dụng một lần. Phiên bản tối ưu hóa của cuộc tấn công có thể khôi phục khóa riêng trong 0,48 giây với tỷ lệ thành công 99,99%. Điều đó khá mạnh mẽ, nhưng các tác giả đã mất 49 năm CPU để thực hiện cuộc tấn công vào chuỗi khối Bitcoin.

Áp dụng Polynonce cho một nửa số ngẫu nhiên

Trong khi đọc về các cuộc tấn công nửa vời, chúng tôi đã phát hiện ra rằng Polynonce cũng có thể được sử dụng để khôi phục các khóa riêng tư bằng cách sử dụng các số ngẫu nhiên nửa vời. Đối với chữ ký ECDSA (r, s), hàm băm thông báo h và khóa riêng d, chúng tôi có mối quan hệ sau liên quan đến nonce:

k = s^{-1}(h + rd) mod q

Nếu chúng ta có hai số ngẫu nhiên k_0 và k_1 được tạo bằng công thức nửa nửa trước đó, sự khác biệt của chúng là:

k_0 - k_1 = s_0^{-1}h_0 - s_1^{-1}h_1 + (s_0^{-1}h_0 - s_1^{-1}h_1)d = h_{0,msb} - h_{1, msb}

Chúng tôi đã tìm thấy một phương trình tuyến tính cho d trong đó tất cả các giá trị khác đã biết. Điều này cung cấp một cách rất nhanh để giải phương trình và khôi phục khóa riêng d. Tuy nhiên, việc sử dụng Polynonce yêu cầu hai nonce và hai chữ ký từ cùng một khóa riêng tư. Chúng tôi đã mất một lợi thế rất lớn so với các cuộc tấn công trước đó. Tuy nhiên, vì biến thể tấn công này rất nhanh nên có thể sử dụng nó trước tiên trên các khóa công khai có nhiều chữ ký, sau đó sử dụng các cuộc tấn công dựa trên mạng trên các chữ ký còn lại.

Vì chênh lệch số ngẫu nhiên trong phương trình của chúng ta chỉ phụ thuộc vào h_{0,msb} - h_{1,msb}, nên điều này cho phép chúng ta quay lại sử dụng công thức k_i = h_{i,msb} || c (trong đó c là a (bí mật) hằng số) tất cả các số ngẫu nhiên được tạo. Điều này tổng quát hơn, nhưng phức tạp hơn một chút đối với Bitcoin. Bắt đầu từ chữ ký ECDSA (r, s), các chữ ký khác nhau (r, -s) của cùng một thông báo cũng hợp lệ. Vì Bitcoin từ chối chữ ký có giá trị lớn nhất là s để tránh giả mạo chữ ký, điều này có nghĩa là chúng ta phải tính cả -k và k. Do đó, trong cuộc tấn công của chúng tôi, chúng tôi phải đoán dấu hiệu của từng nonce.

Việc xây dựng này lẽ ra cũng đã được phát hiện bởi nghiên cứu trước đây về các cuộc tấn công mạng vào các hậu tố được chia sẻ, nhưng tỷ lệ thành công chỉ là 75%.

kết quả

Chúng tôi đã thực hiện phân tích của mình trên tệp kết xuất chuỗi khối Bitcoin đã được sử dụng trong phân tích trước đó của chúng tôi (khối 752.759 kể từ ngày 5 tháng 9 năm 2022). Chúng tôi đã phân tích 34 triệu khóa công khai với ít nhất 2 chữ ký. Trên bộ xử lý AMD 16 nhân tốc độ 2,7 GHz, mất 10 phút 23 giây.

Chúng tôi đã định vị và khôi phục thành công 110 khóa riêng tư duy nhất. Ví dụ, địa chỉ

18zg6FG5pu8Bpq73L54AYvB8phTw3qCCR7

giao dịch

Chúng tôi đã định vị và khôi phục thành công 110 khóa riêng tư duy nhất. Ví dụ, địa chỉ

18zg6FG5pu8Bpq73L54AYvB8phTw3qCCR7

giao dịch

f3151fc1b29c117f1e4b67045b2d2901e7c289f596c242d7de123243fb623981

f7bf1edf9d9cefa8421322c53bb00ecf118f99489171da72a9c11cf8d02b65f8

Tạo số ngẫu nhiên bằng phương pháp nửa rưỡi. Tập lệnh của chúng tôi có thể khôi phục khóa riêng cho địa chỉ này:

Nếu chúng tôi tính toán lại nonce cho các giao dịch như vậy, chúng tôi sẽ nhận được:

Chúng tôi thấy rõ ràng rằng một nửa số ít quan trọng nhất bằng một nửa quan trọng nhất của khóa riêng. Tuy nhiên, như đã đề cập ở trên, chúng tôi có thể khôi phục các trường hợp thú vị khác; đối với cùng một địa chỉ, chúng tôi đã tìm thấy hai nonce:

Trong trường hợp này, khóa riêng tư không liên quan vì chúng tôi thực sự đã tìm thấy một hằng số không xác định khác. Chúng tôi cũng có thể xác nhận những phát hiện trước đây rằng một số khóa sử dụng các số ngẫu nhiên như vậy là các khóa nhỏ: d = {1, 2, 4, 7, 11, 24, 75, 77, 87, 128, 144, 549, 897 }. Do đó, các khóa này có thể được khôi phục dễ dàng bằng các phương pháp vũ phu, tương tự như công việc được thực hiện trên trang web https://privatekeys.pw. Chúng tôi không tìm thấy tài khoản có số dư khác 0 mà chúng tôi tin rằng tài khoản này được theo dõi bởi bot và làm trống khi số dư thay đổi.

Vì cuộc tấn công này quá nhanh nên chúng tôi cũng thực hiện cuộc tấn công tương tự trên các biến thể khác của tạo số bán ngẫu nhiên: k = h_{lsb} || d_{msb}, k = d_{msb} || h_{msb} và k = d_{msb} || h_{lsb}, nhưng chúng tôi không tìm thấy kết quả bổ sung nào.

Chúng tôi cũng thực hiện cuộc tấn công tương tự vào bộ dữ liệu Ethereum được thu thập trong cuộc tấn công trước đó. Cuộc tấn công diễn ra trong 49 phút 11 giây trên cùng một máy. Cuộc tấn công này đã không phục hồi bất kỳ khóa riêng nào.

Các cấu trúc tạo số ngẫu nhiên sáng tạo khác nhau trong quá khứ thú vị đến mức chúng tôi tự hỏi liệu có cấu trúc kỳ lạ nào khác ngoài kia không. Mặc dù các cuộc tấn công mới này không khôi phục khóa riêng mới, nhưng điều đó không có nghĩa là các thuật toán tạo số ngẫu nhiên yếu khác không được sử dụng trong các giao dịch trước đó, cũng như không có nghĩa là có thể khôi phục được bằng các phương pháp tương tự. Nếu những vấn đề như vậy được phát hiện, cách tốt nhất để bảo vệ tiền là chuyển chúng đến địa chỉ mới chưa từng được sử dụng cho các giao dịch và để trống địa chỉ dễ bị tấn công. Kịch bản tấn công của chúng tôi và kết quả chúng tôi thu được có sẵn trên kho lưu trữ Github của cuộc tấn công Polynonce.

BTC ETH
Các bình luận

Tất cả bình luận

Recommended for you

  • Commerzbank: Dữ liệu CPI của Hoa Kỳ sẽ xác nhận lập trường chờ đợi và quan sát của Fed

    Dữ liệu lạm phát của Hoa Kỳ dự kiến ​​công bố vào thứ Tư sẽ xác nhận cách tiếp cận chờ đợi và xem xét của Fed, nhà nghiên cứu Rainer Guntermann của Commerzbank cho biết trong một lưu ý. Guntermann cho biết "Dữ liệu sẽ củng cố lập trường chờ đợi và xem xét của Fed trước quyết định chính sách của tuần tới, vì tác động của mức thuế quan cao hơn vẫn còn hạn chế cho đến nay". Theo LSEG, thị trường tiền tệ định giá đầy đủ rằng Fed sẽ giữ nguyên lãi suất vào ngày 18 tháng 6. Họ cũng thấy khả năng cắt giảm lãi suất vào tháng 9 là hơn 50%.

  • Ngân hàng Nhật Bản kêu gọi nỗ lực hơn nữa để thúc đẩy tiền kỹ thuật số hướng tới xã hội không tiền mặt

    Các quan chức Ngân hàng Nhật Bản đang tăng cường kêu gọi thúc đẩy Nhật Bản theo kịp sự phát triển nhanh chóng của tiền kỹ thuật số, điều này có thể đẩy nhanh quá trình chuyển đổi sang thanh toán không dùng tiền mặt của Nhật Bản, nơi tiền mặt là vua. Dữ liệu của chính phủ Nhật Bản cho thấy tỷ lệ thanh toán không dùng tiền mặt của quốc gia này vào năm 2024 đã tăng từ 13,2% vào năm 2010 lên 42,8%, vượt mục tiêu 40% của chính phủ trước một năm so với kế hoạch. Mặc dù Nhật Bản tụt hậu so với thế giới về công nghệ thanh toán, nhưng sự gia tăng các giao dịch không dùng tiền mặt đang buộc các nhà hoạch định chính sách phải đảm bảo rằng họ sẵn sàng thích ứng với những thay đổi trong sở thích của công chúng đối với các phương thức thanh toán và thanh toán. Điều này bao gồm việc phát hành tiền kỹ thuật số của ngân hàng trung ương (CBDC).

  • Nhà đàm phán thương mại quốc tế của Bộ Thương mại: Trung Quốc và Hoa Kỳ đã đạt được khuôn khổ thỏa thuận về nguyên tắc

    Ngày 10 tháng 6, giờ địa phương, Li Chenggang, Trưởng đoàn đàm phán thương mại quốc tế và Thứ trưởng Bộ Thương mại, phát biểu tại London rằng Trung Quốc và Hoa Kỳ đã tiến hành trao đổi chuyên nghiệp, hợp lý, sâu sắc và thẳng thắn khi thảo luận về cuộc họp đầu tiên của cơ chế tham vấn kinh tế và thương mại Trung Quốc-Hoa Kỳ. Hai bên đã đạt được khuôn khổ về nguyên tắc để thực hiện sự đồng thuận mà hai nguyên thủ quốc gia đạt được trong cuộc điện đàm ngày 5 tháng 6 và sự đồng thuận đạt được trong các cuộc đàm phán Geneva.

  • Cuộc thăm dò của Reuters: 78% các nhà kinh tế dự kiến ​​Ngân hàng Nhật Bản sẽ tăng lãi suất lên ít nhất 0,75% vào cuối quý đầu tiên của năm 2026

    Cuộc thăm dò của Reuters: 78% các nhà kinh tế dự kiến ​​Ngân hàng Nhật Bản sẽ tăng lãi suất lên ít nhất 0,75% vào cuối quý đầu tiên của năm 2026.

  • Thống đốc California: Chính quyền Trump đang thúc đẩy việc trục xuất hàng loạt

    Thống đốc California Gavin Newsom cho biết chính quyền Trump không tập trung vào những người nhập cư không có giấy tờ và tội phạm, mà là vào các vụ trục xuất hàng loạt. Newsom cho biết hôm thứ Ba rằng chính quyền Trump đang "nhắm mục tiêu bừa bãi vào các gia đình nhập cư chăm chỉ, bất kể nguồn gốc hay rủi ro của họ".

  • Dự án chuỗi anome đã gặp phải sự cố bảo mật

    Vào ngày 10 tháng 6, theo cơ quan kiểm toán nổi tiếng Certik, trong quá trình sàng lọc thông tin cảnh báo sớm hàng ngày trên chuỗi, người ta phát hiện ra rằng vào sáng sớm ngày 10 tháng 6, trò chơi bài nổi tiếng Anome đã bị tấn công. Theo phản hồi truyền thông chính thức: Là một nền tảng chuỗi đầy đủ với tương tác tích lũy là 130.000 địa chỉ và hơn 100.000 giao dịch mỗi ngày, nền tảng này đã gặp phải nhiều sự cố như vậy hầu như mỗi ngày mà không bị vi phạm. Cuộc tấn công này xảy ra trong thời gian chuyển đổi giữa các hợp đồng chính thức cũ và mới và kẻ tấn công chủ yếu tấn công vào phần hợp đồng trong phiên bản 1.0 chưa được nâng cấp. Sự cố này không gây ra bất kỳ tổn thất tài sản nào của người dùng, chỉ mất một phần thanh khoản.

  • Thành viên hội đồng quản trị ECB Villeroy: ECB đã bình thường hóa chính sách thành công

    Thành viên hội đồng quản trị ECB Villeroy de Villeroy: ECB đã bình thường hóa chính sách thành công, và chính sách và lạm phát hiện đang ở trong phạm vi thuận lợi. Ở trong phạm vi thuận lợi không có nghĩa là ECB sẽ không thay đổi. Chúng tôi sẽ tiếp tục thúc đẩy các vấn đề về lãi suất một cách thực tế dựa trên luồng dữ liệu và vẫn linh hoạt khi cần thiết.

  • Giá tương lai lãi suất của Anh trong bối cảnh BoE cắt giảm lãi suất 46 điểm cơ bản trong phần còn lại của năm 2025

    Lãi suất tương lai của Anh đang định giá 46 điểm cơ bản lãi suất của BoE sẽ giảm trong phần còn lại của năm 2025, so với kỳ vọng là 39 điểm cơ bản trước khi dữ liệu thị trường lao động được công bố.

  • Nền tảng truyền thông Towns Protocol huy động thêm 3,3 triệu đô la tiền tài trợ do Coinbase Ventures và echo dẫn đầu

    Vào ngày 10 tháng 6, theo tin tức chính thức, nền tảng truyền thông Towns Protocol đã hoàn thành thêm 3,3 triệu đô la tài trợ, do Coinbase Ventures và echo dẫn đầu, và việc tài trợ đã hoàn tất vào tháng 4 năm nay. Vào tháng 4 năm nay, Towns Protocol đã công bố hoàn thành khoản tài trợ Series B trị giá 10 triệu đô la, do a16z crypto dẫn đầu, với sự tham gia của Coinbase Ventures, Benchmark và các bên khác. Towns Protocol được xây dựng trên mạng Base và nhằm mục đích thúc đẩy sự phát triển của các công cụ cộng tác và xã hội Web3. Towns hy vọng sẽ tạo ra một quảng trường thị trấn kỹ thuật số thông qua phi tập trung và Web3, nơi các thành viên có thể xác định ranh giới, đặt ra các quy tắc và xây dựng thế giới mà họ muốn, và người dùng sẽ trở thành chủ nhân của quảng trường thị trấn kỹ thuật số.

  • Forbes Rich List: Triệu Trường Bằng vượt qua Trương Nhất Minh để trở thành người Trung Quốc giàu nhất một lần nữa, với tài sản 65,7 tỷ đô la

    Theo ChainCatcher, theo dữ liệu mới nhất từ ​​Forbes Rich List, nhà sáng lập Binance Changpeng Zhao (CZ) một lần nữa trở thành người Trung Quốc giàu nhất với tài sản 65,7 tỷ đô la Mỹ. Tuy nhiên, Forbes liệt kê quốc tịch của Zhao là Canada và hiện ông đang xếp thứ 24.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty
Cointime

Hot Coins

TerraClassicUSD USTC
$0.01208
- 2.89%
$67634757.2
Terra Classic LUNC
$0.00006079
- 1.68%
$332382822.07
Axie Infinity AXS
$2.55
- 4.94%
$413496923.82

phải đọc hàng ngày

01
Vào đêm trước kỷ nguyên hậu lượng tử: Bitcoin xây dựng thế hệ phòng thủ an ninh tiếp theo như thế nào?
02
Powell đã tham dự sự kiện của Ban Tài chính Quốc tế của Fed: tưởng nhớ Fischer, nhắc lại tầm quan trọng của nghiên cứu kinh tế toàn cầu và không thảo luận về triển vọng chính sách
03
Bài phát biểu đầy đủ của Bitcoin 2025 Vance: Tài sản kỹ thuật số là biểu tượng và động lực cho quyền tự do cá nhân của người Mỹ
04
Giá HYPE liên tục đạt mức cao mới Tổng quan nhanh về hệ sinh thái Hyperliquid
05
Witkoff và con trai: Bạn của Trump, đặc phái viên Trung Đông và tỷ phú tiền điện tử