Ronin 黑客计中计 你听说过歪曲进犯缝隙吗

浏览次数： 89 发布日期： 2023-04-04 18:49:47 来源：od体育官网登录

　　黑客在进犯完 Euler 后，为了混淆视听躲避清查，转了 100 ETH 给盗取了 Ronin 6.25 亿多美金的黑客拉撒路。拉撒路顺水推舟将计就计，随即给 Euler 黑客发了一条链上加密音讯[1]，并回礼了 2 枚 ETH：

　　按道理说在揭露的环境下，假如 Ronin Exploiter 只是想加密通讯，使⽤公钥加密是最简略的⽅案。

　　其间密⽂ C，公钥 Q，私钥 d，随机数 r，音讯 M。协议很简略，加密进程不需求⽤到的私钥，不存在私钥走漏的途径。

　　是否真的如此？且让咱们先剖析⼀下 eth-ecies 存在的是怎么样的⼀个缝隙。

　　经过剖析，咱们发现 eth-ecies 使⽤了 “elliptic”: “^6.4.0”，这是个 Javascript 椭圆曲线库，这个版别的库存在多个安全缝隙，其间⼀个便是歪曲曲线进犯缝隙(twist attacks)，这个缝隙的成因是在核算 ECDH 同享密钥时没有验证对⽅的公钥是否在曲线上，进犯者可经过结构⼩⼦群曲线上的公钥，诱导受害者核算同享密钥，从⽽破解出受害者私钥。

　　可是这个缝隙的利⽤难度是很⾼的，需求有⾮常符合的场景才干主张进犯，Ronin Exploiter 是否有时机主张歪曲进犯呢？

　　ECDH 算法是依据椭圆曲线加密的密钥交流算法。它与传统的 Diffie-Hellman (DH) 算法相似，可是使⽤的是椭圆曲线上的数学运算来完成密钥交流，从⽽供给更⾼的安全性。

　　1. ⽣成椭圆曲线：在密钥交流之前，通讯双⽅需求挑选⼀个椭圆曲线，该曲线有必要满⾜⼀些数学特性，例如离散对数问题。

　　2. ⽣成私钥和公钥：每个通讯⽅都需求⽣成⼀对私钥和公钥。私钥是⼀个随机数，⽤于核算公钥。公钥是⼀个点，它在椭圆曲线上，并由私钥核算得出。

　　4. 核算同享密钥：通讯双⽅使⽤对⽅发送的公钥和⾃⼰的私钥核算出⼀个同享密钥。这个同享密钥能够⽤于加密通讯中的数据，确保通讯的机密性。

　　为了⽅便描绘下⽂ Alice 和 Bob 别离代表上⾯双⽅，G 为基点，假定：

　　核⼼常识点在同享密钥核算⽅法，依据群的乘法交流律，他们只需获取到对⽅的公钥就能够核算出同享密钥：

　　假如 Alice 想要探听 Bob 的私钥，她能够挑选⼀个阶数 q ⾮常⼩（点的数量⾮常少）的曲线点 H（这个点不是对应任何特定私钥的公钥，可是 Bob 并不知道），由于群是循环群，Bob 在核算 S′ = bH 时，他得到的 S′ 将在这些少数点群以内。Alice 不知道 Bob 的私钥 b，但能够经过穷举得到满⾜ S′ = xH 的 x，此刻 b ≡ x mod q 。明显 x 很⼩，最⼤为 q。

　　需求多少个歪曲点呢？这取决于每⼀次挑选的阶数 q，需求阶数相乘能超越私钥的最⼤值，即满⾜：

　　假如我每次挑选的 q ⼤⼀点，那么需求交互的次数 n 就能够少⼀点，但 q 越⼤意味着穷举的难度越⼤，所以这⾥需求依据 Alice 的运算性能做⼀个取舍。

　　上⾯咱们剖析了 ECDH 算法的⻛险和进犯原理，咱们再回来看 eth-ecies 这个库，实际上它使⽤的只是⼀个相似 ECDH 的算法，它在结构同享私钥时使⽤的是暂时密钥，底子不需求⽤到加密⽅的私钥，所以并不会对加密⽅构成⻛险。

　　巧的很，咱们很快就发现被⼴泛使⽤的开源库 openpgpjs[3] 最新版别 v5.7.0 还在使⽤了低版别的 “@openpgp/elliptic”: “^6.5.1” ，更巧的是，它⽀持依据 Curve25519 的 ECDH 协议，故事本应该进⼊⾼潮，但经过剖析发现，openpgpjs 的 ECDH 协议在完成时，和 Ecies 协议⼀样引⼊了暂时密钥，即便加密⽅导⼊了私钥，也只是⽤于音讯签名，⽽不会⽤于结构同享密钥。

　　故事完毕了，我觉得 Ronin Exploiter 使⽤低版别 elliptic 存在的缝隙去隐秘的盗取 Euler Exploiter 私钥的或许性不⼤，⾄于那条链上音讯，或许真的是为了共商⼤计，更进⼀步的图谋不轨需求愈加⾼超的社会⼯程学⼿段了，但 Euler Exploiter 现已警惕。

　　2. 当 Bob ⽤同享密钥 S 加密音讯时，它并不会把 S 传输给 Alice，由于依据协议 Bob 以为 Alice 是现已知道这个密钥的，那么 Alice 怎么获取 S 呢？

　　挑选 19442993 这个⼤⼩适中的数，⽤我国剩下定理创立⼀个含有 19442993 个元素的⼦群：

　　到这⾥咱们就得到了第⼀个歪曲的点，把它当作公钥发送给 Bob，Bob 就能够核算第⼀个同享密钥：

　　本⽂咱们经过⼀个不同常理的对话开端研讨了椭圆曲线加密算法中的歪曲曲线进犯，剖析了缝隙的存在的原因，尽管缝隙利⽤场景有限，但不失为⼀个很有价值的缝隙，期望能对⼤家的学习研讨有所启示。

　　最终，感谢抢先的⼀站式数字财物⾃保管服务商 Safeheron 供给的专业技术主张。