วิธีการแฮ็กใหม่ที่ชื่อว่า "Dark Skippy" ทำให้ผู้ใช้ Bitcoin กังวล มันสามารถขโมยกุญแจส่วนตัวจากฮาร์ดแวร์วอลเล็ตได้เพียงแค่สองการทำธุรกรรมเท่านั้น ช่องโหว่นี้ส่งผลกระทบต่อรูปแบบฮาร์ดแวร์วอลเล็ตทุกรูปแบบ
และที่สำคัญ? ผู้โจมตีต้องการให้เหยื่อดาวน์โหลดเฟิร์มแวร์ที่ไม่น่าไว้วางใจ แต่เมื่อเข้าไปแล้ว มันจะควบคุมได้ทั้งหมด.
นักวิจัยด้านความปลอดภัย Lloyd Fournier, Nick Farrow และ Robin Linus เปิดเผยข้อมูล เมื่อวันที่ 5 สิงหาคม พวกเขาไม่ใช่คนทั่วไป Fournier และ Farrow เป็นผู้ร่วมก่อตั้งผู้ผลิตฮาร์ดแวร์วอลเล็ต Frostsnap Linus ร่วมพัฒนาโปรโตคอล Bitcoin ZeroSync และ BitVM.
นี่คือสิ่งที่ยิ่งใหญ่: เฟิร์มแวร์ที่ถูกแอบปล่อยสามารถซ่อนคำเมล็ดพันธุ์บางส่วนในลายเซ็นของธุรกรรม ลายเซ็นเหล่านี้จะปรากฏในบล็อกเชนเมื่อธุรกรรมผ่านไป ผู้โจมตีจากนั้นสามารถสแกนหาลายเซ็นเหล่านี้.
แต่เดี๋ยวก่อน ยังมีอีก ลายเซ็นเหล่านี้มีเฉพาะ "nonce สาธารณะ" ไม่ใช่คำเมล็ดพันธุ์จริง แฮกเกอร์ที่ชาญฉลาดใช้ Pollard's Kangaroo Algorithm ในการแตกโค้ดนี้.
คณิตศาสตร์เทพเหล่านี้จาก John M. Pollard แก้ปัญหาการคำนวนลอการิทึมที่ไม่เชิงเส้น เป็นการปวดหัวจริงๆ สำหรับนักคริปโตฯ.
นักวิจัยเคลมว่าพวกเขาสามารถดึงคำเมล็ดพันธุ์ของผู้ใช้ได้ทั้งหมดจากเพียงสองลายเซ็น ไม่สำคัญว่าคำเมล็ดพันธุ์เป็นจากอุปกรณ์อื่นเลย นี้ถือว่าเป็นฝันร้ายของความปลอดภัย.
แต่นี้ก็ไม่ใช่สิ่งใหม่ทั้งหมด รุ่นเก่าๆ ใช้ "nonce grinding," วิธีช้าๆ ที่ต้องการธุรกรรมมากมาย แต่ยังไงก็ตามนักวิจัยไม่ได้เรียก "Dark Skippy" ว่าเป็นภัยคุกคามใหม่ทั้งหมด.
ดังนั้น, วิธีการแก้ไขคืออะไร? ผู้ผลิตฮาร์ดแวร์วอลเล็ตต้องพัฒนาให้ทันเวลา พวกเขาเสนอ "การบูตที่ปลอดภัยและการล็อกอินเทอร์เฟซ JTAG/SWD" และ "การสร้างเฟิร์มแวร์ที่สามารถทำซ้ำได้และได้รับการลงนามจากผู้ขาย."
ผู้ใช้ก็ไม่หลุดพ้น พวกเขาแนะนำให้เก็บอุปกรณ์ใน "สถานที่ลับ, ตู้เซฟส่วนตัว, หรือแม้กระทั่งถุงกันปลอม" เป็นความยุ่งยากเล็กน้อยไหม?
อีกทางเลือกหนึ่ง? โปรโตคอลการลงนาม "Anti-exfiltration" เหล่านี้จะหยุดฮาร์ดแวร์วอลเล็ตจากการสร้าง nonce เอง.
ช่องโหว่ของวอลเล็ต Bitcoin เคยทำให้สูญเสียใหญ่ก่อน ในเดือนสิงหาคม 2023 มูลค่า Bitcoin กว่า $900,000 หายไปเนื่องจากข้อผิดพลาดในไลบรารี Libbitcoin explorer ในเดือนพฤศจิกายน Unciphered เตือนว่า วอลเล็ตเก่ามูลค่า $2.1 พันล้าน อาจเสี่ยงเนื่องจากปัญหาซอฟต์แวร์ BitcoinJS.
โลกคริปโตฯ มีงานใหญ่ที่ต้องทำ "Dark Skippy" เป็นเพียงภัยคุกคามล่าสุดในความยุ่งเหยิงด้านความปลอดภัย แต่ว่าผู้เชื่อใน Bitcoin มันเป็นส่วนหนึ่งของเกม.