Un nuevo hallazgo de investigación ha identificado vulnerabilidades en la nueva clase de firma de algoritmo de firma electronic de curva elíptica de Bitcoin (ECDSA) que las entidades, desde 2015, han estado utilizando para robar fondos de usuarios desprevenidos, robando más de 222 bitcoin (BTC) a lo largo de los años.
Debilidad en las firmas ECDSA de Bitcoin expuestas
El estudio, cuyos hallazgos se publicaron el 9 de junio, muestra que las fallas en las firmas ECDSA personalizadas pueden exponer las claves privadas del remitente e incluso contribuir en gran medida a revelar no solo la verdadera identidad del remitente, sino también sus respectivas direcciones, especialmente si el remitente es en línea.
Los investigadores han encontrado una nueva forma de explotar una vulnerabilidad en la forma en que se crean las firmas ECDSA en Bitcoin. La debilidad ocurre cuando el «nonce de firma se genera al concatenar la mitad de los bits del hash del mensaje junto con la mitad de los bits de la clave de firma secreta». De esta forma, el atacante puede proceder a crear firmas ECDSA falsas que parecen ser válidas.
Para ejecutar este «ataque basado en celosía», los investigadores dijeron que el atacante podría recuperar las claves privadas ECDSA del remitente solo si supiera el nonce utilizado para generar una sola firma. Un nonce en Bitcoin es un número aleatorio único generado por un minero que se united states of america para crear un hash. Este hash satisface los requisitos de dificultad de Bitcoin al verificar un bloque de transacciones de bitcoin (BTC), evitando el fraude y el doble gasto.
Aproximadamente 90.000 firmas personalizadas afectadas
La firma ECDSA es un algoritmo algorítmico que se utiliza para firmar transacciones. En la cadena de bloques de Bitcoin, todos los titulares de claves privadas, es decir, los propietarios de bitcoin (BTC), deben firmar transacciones, verificando que son propietarios antes de que esas transacciones se procesen en la cadena.
La firma ECDSA necesaria para aprobar transacciones se crea utilizando las claves pública y privada del remitente. Este algoritmo de firma ECDSA es essential para garantizar que solo el remitente de la moneda sea el verdadero propietario. Al mismo tiempo, protege contra el doble gasto y el fraude.
El nuevo hallazgo revela que las firmas ECDSA personalizadas en la crimson blockchain son vulnerables y pueden filtrar fondos, identidades verdaderas y la ubicación del remitente. Durante la investigación, se identificaron casi 90 000 firmas ECDSA personalizadas vulnerables. Estos fueron creados por 900 direcciones diferentes que desde entonces han movido 222 BTC.
