DeFi alanında olay olmadan sıfır gün. Bu sefer, yaygın olarak kullanılan bir ‘eliptik kütüphane’de bir güvenlik açığı keşfedildi.
Kötüleşen durum – bunun istismar edilmesi, hackerların kullanıcıların özel anahtarlarını ele geçirip cüzdanları boşaltmasına yol açabilir.
Bir kullanıcı tarafından imzalanmış basit bir dolandırıcılık mesajı aracılığıyla. Bu kritik bir sorun mu?
Dikkate alınması gereken ilk şey, elliptic gibi kütüphanelerin geliştiricilere hazır kod bileşenleri sağlamasıdır.
Bu, kodu sıfırdan yazmak ve ilerledikçe kontrol etmek yerine, geliştiricilerin ihtiyaç duydukları öğeleri ödünç aldıkları anlamına gelir.
Daha güvenli bir uygulama olarak kabul edilse de, kütüphanelerin sürekli kullanılması ve test edilmesi nedeniyle, bir güvenlik açığı geçerse bu da riskleri artırır.
Eliptik kütüphane, JavaScript ekosisteminde yaygın olarak kullanılmaktadır. Birçok tanınmış blok zinciri projesinde, web uygulamalarında ve güvenlik sistemlerinde kriptografik işlevleri güçlendirir.
NPM istatistiklerine göre, hatayı içeren paket haftada yaklaşık 12–13 milyon kez indirilmekte ve 3,000'den fazla proje bunu doğrudan bağımlılık olarak listelemektedir.
Bu geniş kullanım, zayıflığın potansiyel olarak çok sayıda uygulamayı etkileyebileceğini ima etmektedir - özellikle kripto para cüzdanları, blockchain düğümleri ve elektronik imza sistemleri - ayrıca, dışarıdan sağlanan girişi işlerken eliptik eğriler aracılığıyla ECDSA imzalarına güvenen herhangi bir hizmeti de kapsamaktadır.
Bu güvenlik açığı, uzaktaki saldırganların uygun yetki olmadan hassas verilere tamamen erişim sağlamasına olanak tanır.
Bu nedenle sorun, CVSS ölçeğinde yaklaşık 10 üzerinden dokuz gibi son derece yüksek bir önem derecesi aldı.
Bu zafiyetin istismar edilmesinin çok belirli bir eylem sırasını gerektirdiğini ve mağdurun saldırgan tarafından sağlanan keyfi verileri imzalaması gerektiğini belirtmek önemlidir.
Bu, örneğin bir uygulama yalnızca önceden belirlenmiş dahili mesajları imzalarsa, bazı projelerin güvenli kalabileceği anlamına gelir.
Yine de, birçok kullanıcı, bir işlem imzalarken gösterdikleri kadar dikkat etmezler, kripto cüzdanları aracılığıyla mesajları imzalarken.
Web 3.0 sitesi kullanıcılarından hizmet şartlarını imzalamalarını istediğinde, kullanıcılar genellikle bunları okumayı ihmal ederler.
Benzer şekilde, kullanıcılar bir airdrop için mesajı hızlıca imzalayabilirler, ancak bunun sonuçlarını tam olarak anlamadan.
Teknik detaylar
Sorun, ECDSA (Eliptik Eğri Dijital İmza Algoritması) imzalarının oluşturulması sırasında hataların düzgün bir şekilde işlenmemesinden kaynaklanıyor.
ECDSA, blockchain işlemleri gibi mesajların gerçek olduğunu doğrulamak için yaygın olarak kullanılır.
Bir imza oluşturmak için bir gizli anahtara ihtiyacınız var - sadece sahibi bunu bilir - ve ‘nonce’ adı verilen benzersiz bir rastgele sayıya.
Farklı mesajlar için aynı nonce birden fazla kez kullanılırsa, biri matematik kullanarak gizli anahtarı bulabilir.
Genellikle, saldırganlar bir veya iki imzadan özel anahtarı çözüme kavuşturamazlar çünkü her biri benzersiz bir rastgele sayı (nonce) kullanır.
Ama eliptik kütüphanesinde bir sorun var - eğer beklenen format yerine ( gibi özel bir dize gibi garip bir tür girdi alırsa, farklı mesajlar için aynı nonce ile iki imza oluşturabilir.
Bu hata, asla doğru ECDSA kullanımında olmaması gereken özel anahtarı açığa çıkarabilir.
Bu güvenlik açığını istismar etmek için bir saldırganın iki şeye ihtiyacı var.
Kullanıcıdan geçerli bir mesaj ve imzası – örneğin, önceki etkileşimlerden biri
Kullanıcının, açığı istismar etmek için özel olarak oluşturulmuş ikinci bir mesajı imzalaması
Bu iki imza ile saldırgan, kullanıcının özel anahtarını hesaplayabilir ve buna bağlı varlıklara ve işlemlere tam erişim kazanabilir. Detaylı bilgi GitHub Güvenlik Danışmanlığı'nda mevcuttur.
Sömürü senaryoları
Saldırganlar bu güvenlik açığını çeşitli yöntemlerle istismar edebilir, bunlar arasında şunlar bulunmaktadır.
Kullanıcıları sahte web sitelerine yönlendiren ve mesaj imzaları talep eden kimlik avı saldırıları
Kötü amaçlı DApp'ler )decentralized applications( kullanım koşullarını imzalamak veya airdrop'lara katılmak gibi zararsız hizmetler olarak gizlenir
Sosyal mühendislik, kullanıcıları görünüşte zararsız mesajlara imza atmaya ikna etme
Kullanıcıların mesajlarını imzalayan sunucuların özel anahtarlarını tehlikeye atma
Özellikle endişe verici bir yön, kullanıcıların mesajları imzalama konusundaki genel kayıtsızlıklarıdır, bu durum işlemlerle kıyaslandığında daha belirgindir.
Kripto projeleri, kullanıcıların hizmet şartlarını veya airdrop katılım mesajlarını imzalamasını sıkça talep eder, bu da istismarı kolaylaştırabilir.
Yani, bunun üzerinde düşün – ücretsiz tokenleri talep etmek için bir mesaj imzalayacak mısın? O imzanın sana tüm kripto bakiyeni kaybettirebileceğini düşünsen?
Tavsiyeler
Kullanıcılar, imzalar için elliptik kütüphanesini kullanan tüm uygulamaları ve cüzdanları en son güvenli sürüme derhal güncellemelidir.
Mesajları imzalarken, özellikle tanıdık olmayan veya şüpheli kaynaklardan gelenlere karşı dikkatli olun.
Cüzdan ve uygulama geliştiricileri, eliptik kütüphane sürümlerini doğrulamalıdır.
Eğer herhangi bir kullanıcı savunmasız sürümden etkilenebilecekse, geliştiricilerin onları güncelleme gereksinimi hakkında acilen bilgilendirmesi gerekir.
Gleb Zykov, HashEx Blockchain Security'nin kurucu ortağı ve CTO'sudur. IT endüstrisinde 14 yıldan fazla deneyime ve internet güvenliğinde sekiz yıldan fazla deneyime sahiptir. Ayrıca Bitcoin, Ethereum ve EVM tabanlı blok zincirleri ile güçlü bir teknik altyapıya sahiptir ).
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
HashEx Güvenlik Uyarısı – Tek Bir İmza Cüzdanınızı Boşaltabilir - Daily Hodl
HodlX Misafir YazısıGönderin Yazınızı
DeFi alanında olay olmadan sıfır gün. Bu sefer, yaygın olarak kullanılan bir ‘eliptik kütüphane’de bir güvenlik açığı keşfedildi.
Kötüleşen durum – bunun istismar edilmesi, hackerların kullanıcıların özel anahtarlarını ele geçirip cüzdanları boşaltmasına yol açabilir.
Bir kullanıcı tarafından imzalanmış basit bir dolandırıcılık mesajı aracılığıyla. Bu kritik bir sorun mu?
Dikkate alınması gereken ilk şey, elliptic gibi kütüphanelerin geliştiricilere hazır kod bileşenleri sağlamasıdır.
Bu, kodu sıfırdan yazmak ve ilerledikçe kontrol etmek yerine, geliştiricilerin ihtiyaç duydukları öğeleri ödünç aldıkları anlamına gelir.
Daha güvenli bir uygulama olarak kabul edilse de, kütüphanelerin sürekli kullanılması ve test edilmesi nedeniyle, bir güvenlik açığı geçerse bu da riskleri artırır.
Eliptik kütüphane, JavaScript ekosisteminde yaygın olarak kullanılmaktadır. Birçok tanınmış blok zinciri projesinde, web uygulamalarında ve güvenlik sistemlerinde kriptografik işlevleri güçlendirir.
NPM istatistiklerine göre, hatayı içeren paket haftada yaklaşık 12–13 milyon kez indirilmekte ve 3,000'den fazla proje bunu doğrudan bağımlılık olarak listelemektedir.
Bu geniş kullanım, zayıflığın potansiyel olarak çok sayıda uygulamayı etkileyebileceğini ima etmektedir - özellikle kripto para cüzdanları, blockchain düğümleri ve elektronik imza sistemleri - ayrıca, dışarıdan sağlanan girişi işlerken eliptik eğriler aracılığıyla ECDSA imzalarına güvenen herhangi bir hizmeti de kapsamaktadır.
Bu güvenlik açığı, uzaktaki saldırganların uygun yetki olmadan hassas verilere tamamen erişim sağlamasına olanak tanır.
Bu nedenle sorun, CVSS ölçeğinde yaklaşık 10 üzerinden dokuz gibi son derece yüksek bir önem derecesi aldı.
Bu zafiyetin istismar edilmesinin çok belirli bir eylem sırasını gerektirdiğini ve mağdurun saldırgan tarafından sağlanan keyfi verileri imzalaması gerektiğini belirtmek önemlidir.
Bu, örneğin bir uygulama yalnızca önceden belirlenmiş dahili mesajları imzalarsa, bazı projelerin güvenli kalabileceği anlamına gelir.
Yine de, birçok kullanıcı, bir işlem imzalarken gösterdikleri kadar dikkat etmezler, kripto cüzdanları aracılığıyla mesajları imzalarken.
Web 3.0 sitesi kullanıcılarından hizmet şartlarını imzalamalarını istediğinde, kullanıcılar genellikle bunları okumayı ihmal ederler.
Benzer şekilde, kullanıcılar bir airdrop için mesajı hızlıca imzalayabilirler, ancak bunun sonuçlarını tam olarak anlamadan.
Teknik detaylar
Sorun, ECDSA (Eliptik Eğri Dijital İmza Algoritması) imzalarının oluşturulması sırasında hataların düzgün bir şekilde işlenmemesinden kaynaklanıyor.
ECDSA, blockchain işlemleri gibi mesajların gerçek olduğunu doğrulamak için yaygın olarak kullanılır.
Bir imza oluşturmak için bir gizli anahtara ihtiyacınız var - sadece sahibi bunu bilir - ve ‘nonce’ adı verilen benzersiz bir rastgele sayıya.
Farklı mesajlar için aynı nonce birden fazla kez kullanılırsa, biri matematik kullanarak gizli anahtarı bulabilir.
Genellikle, saldırganlar bir veya iki imzadan özel anahtarı çözüme kavuşturamazlar çünkü her biri benzersiz bir rastgele sayı (nonce) kullanır.
Ama eliptik kütüphanesinde bir sorun var - eğer beklenen format yerine ( gibi özel bir dize gibi garip bir tür girdi alırsa, farklı mesajlar için aynı nonce ile iki imza oluşturabilir.
Bu hata, asla doğru ECDSA kullanımında olmaması gereken özel anahtarı açığa çıkarabilir.
Bu güvenlik açığını istismar etmek için bir saldırganın iki şeye ihtiyacı var.
Bu iki imza ile saldırgan, kullanıcının özel anahtarını hesaplayabilir ve buna bağlı varlıklara ve işlemlere tam erişim kazanabilir. Detaylı bilgi GitHub Güvenlik Danışmanlığı'nda mevcuttur.
Sömürü senaryoları
Saldırganlar bu güvenlik açığını çeşitli yöntemlerle istismar edebilir, bunlar arasında şunlar bulunmaktadır.
Özellikle endişe verici bir yön, kullanıcıların mesajları imzalama konusundaki genel kayıtsızlıklarıdır, bu durum işlemlerle kıyaslandığında daha belirgindir.
Kripto projeleri, kullanıcıların hizmet şartlarını veya airdrop katılım mesajlarını imzalamasını sıkça talep eder, bu da istismarı kolaylaştırabilir.
Yani, bunun üzerinde düşün – ücretsiz tokenleri talep etmek için bir mesaj imzalayacak mısın? O imzanın sana tüm kripto bakiyeni kaybettirebileceğini düşünsen?
Tavsiyeler
Kullanıcılar, imzalar için elliptik kütüphanesini kullanan tüm uygulamaları ve cüzdanları en son güvenli sürüme derhal güncellemelidir.
Mesajları imzalarken, özellikle tanıdık olmayan veya şüpheli kaynaklardan gelenlere karşı dikkatli olun.
Cüzdan ve uygulama geliştiricileri, eliptik kütüphane sürümlerini doğrulamalıdır.
Eğer herhangi bir kullanıcı savunmasız sürümden etkilenebilecekse, geliştiricilerin onları güncelleme gereksinimi hakkında acilen bilgilendirmesi gerekir.
Gleb Zykov, HashEx Blockchain Security'nin kurucu ortağı ve CTO'sudur. IT endüstrisinde 14 yıldan fazla deneyime ve internet güvenliğinde sekiz yıldan fazla deneyime sahiptir. Ayrıca Bitcoin, Ethereum ve EVM tabanlı blok zincirleri ile güçlü bir teknik altyapıya sahiptir ).