Kudelski entdeckt gefährliche ECDSA-Bitcoin-Schwachstelle – Hunderte Wallets gehackt

Eine gravierende ECDSA-Bitcoin-Schwachstelle wurde entdeckt, die bereits hunderte von Wallets kompromittiert hat. Kudelski Security, eine führende Industrieexpertin im Bereich der Sicherheitslücken, hat vor kurzem alarmierende Ergebnisse veröffentlicht: Unter bestimmten Umständen kann der private Schlüssel aus öffentlich zugänglichen Daten rekonstruiert werden. In der Welt der Kryptowährungen, in der das Prinzip „Dein Schlüssel, dein Geld“ von entscheidender Bedeutung ist, könnten diese Neuigkeiten potenziell katastrophal sein.Das Forschungsteam von Kudelski Security demonstrierte in ihrem Beispielcode, wie einfach es ist, den Schlüssel zu rekonstruieren. Innerhalb von nur drei Sekunden kann der Key wiederhergestellt werden, mit weniger als 150 Zeilen Code.Wie funktioniert die ECDSA-Bitcoin-Schwachstelle?Um die Funktionsweise der Schwachstelle zu verstehen, müssen wir bei den Grundlagen beginnen. Die Zufallszahlen, die von Computern erzeugt werden, sind nicht wirklich zufällig, weshalb sie Pseudo Random Number Generators (PRNGs) genannt werden. Diese Generatoren werden verwendet, weil atmosphärisches Rauschen nicht immer praktisch ist.Allerdings sind nicht alle PRNGs gleich. Es gibt hochkomplexe, kryptografisch sichere Generatoren auf der einen Seite, während auf der anderen Seite Lineare Kongruenzgeneratoren (LCGs) stehen. Wenn ein unsicherer Generator aus frühen Entwicklungszeiten in einer Krypto-Wallet verwendet wird, läuft der Benutzer Gefahr, seinen privaten Schlüssel preiszugeben, wenn er seine Transaktionen durchführt.Diese Generatoren spucken einen Nonce aus, der Teil der Signatur wird. Wenn man mehrere aufeinanderfolgende Nonces verwendet, wird der Schlüssel offenbart. Wiederverwendete Nonces, die schon lange vor Entdeckung der Schwachstelle als verwundbar bekannt waren, wurden in der Bitcoin-Chain gefunden und ausgenutzt. Insgesamt wurden bereits Millionen von Dollar in Bitcoin gestohlen.Wie sieht es bei Ethereum aus?Auch Ethereum nutzt ECDSA zur Absicherung der Chain. Ein Angriff auf diese Blockchain ergab jedoch nur 2 verwundbare Wallets, beide ohne Ethereum. Daher wurde der Angriff auf die Schwachstelle nicht fortgesetzt.Um Ihr Kryptogeld zu schützen, sollten Sie es auf einem Hardware-Wallet speichern. Dies gilt unabhängig von der jüngsten Entdeckung der ECDSA-Bitcoin-Schwachstelle.