SlowMist: Виявлено критичну вразливість безпеки в бібліотеці еліптичної криптографії

Foresight News повідомляє, що SlowMist Technology заявила про виявлення серйозної вразливості безпеки (GHSA-vjh7-7g9h-fjfh) в еліптичній криптографічній бібліотеці, яка широко використовується в екосистемі JavaScript. Зловмисники можуть витягти приватні ключі за допомогою одного підпису, створюючи специфічні вхідні дані, тим самим отримуючи повний контроль над цифровими активами або ідентифікаційними даними жертви. Корінь цієї вразливості полягає в дефектах обробки нестандартних вхідних даних бібліотекою elliptic, що призводить до можливості повторення випадкового числа k у підписах ECDSA. Оскільки безпека алгоритму ECDSA значною мірою залежить від унікальності k, як тільки k повторюється, приватний ключ може бути безпосередньо виведений, що призводить до незворотних ризиків безпеки.