"Dark Skippy" olarak adlandırılan yeni bir hackleme yöntemi, Bitcoin kullanıcılarını tedirgin ediyor. Bu yöntem, sadece iki işlemle donanım cüzdanlarından özel anahtarları çalabiliyor. Bu güvenlik açığı tüm donanım cüzdanı modellerini etkiliyor.
Yakalama noktası mı? Saldırganların, mağdurların sahte yazılım yüklemelerini indirmesi gerekiyor. Ama bir kez içeri girdiklerinde, oyun bitmiş oluyor.
Güvenlik araştırmacıları Lloyd Fournier, Nick Farrow ve Robin Linus, 5 Ağustos'ta detayları paylaştılar. Onlar sıradan kişiler değil. Fournier ve Farrow, donanım cüzdanı üreticisi Frostsnap'i kurdular. Linus, Bitcoin protokolleri ZeroSync ve BitVM'yi birlikte geliştirdi.
İşin can alıcı noktası: kötü niyetli yazılımlar, işlem imzalarında çekirdek kelimelerin parçalarını gizleyebilir. Bu imzalar işlemler gerçekleştiğinde blok zincire düşer. Saldırganlar daha sonra bu imzaları tarar.
Ama dahası var. İmzalar sadece "genel nonce'ları" içerir, gerçek çekirdek kelimeleri değil. Zeki hackerlar, Pollard'ın Kanguru Algoritması'nı kullanarak kodu kırar.
Bu matematiksel deha, John M. Pollard'ın katkılarıyla, ayrık logaritma problemini çözer. Kripto meraklıları için gerçek bir beyin fırtınası.
Araştırmacılar, kullanıcıların tam çekirdek kelimelerini sadece iki imza ile ele geçirebileceklerini iddia ediyor. Bu çekirdek kelimeler başka bir cihazdan gelir mi gelmez mi önemli değil. Tam bir güvenlik kabusu.
Bu tamamen yeni değil. Eski versiyonlar "nonce öğütme" adı verilen, daha yavaş bir yöntem kullanıyordu ve daha fazla işlem gerektiriyordu. Ama araştırmacılar "Dark Skippy"yi tamamen yeni bir tehdit olarak görmüyorlar.
Peki çözüm nedir? Donanım cüzdanı üreticilerinin işlerini geliştirmeleri gerekiyor. "Güvenli önyükleme ve kilitli JTAG/SWD arayüzleri" ve "yeniden üretilebilir ve satıcı imzalı yazılım sürümleri" öneriyorlar.
Kullanıcılar da işin içinden çıkamıyor. Rapor, cihazların "gizli yerlerde, kişisel kasalarda veya belki de kurcalamaya karşı dayanıklı torbalarda" saklanmasını öneriyor. Biraz zahmetli, değil mi?
Başka bir seçenek mi? "Anti-ekfiltrasyon" imzalama protokolleri. Bu, donanım cüzdanlarının kendi nonce'larını üretmesini engeller.
Bitcoin cüzdanı hataları daha önce büyük kayıplara yol açtı. Ağustos 2023’te, Libbitcoin explorer kütüphanesi hatası nedeniyle 900,000 dolardan fazla Bitcoin kayboldu. Kasım ayında ise Unciphered, BitcoinJS cüzdan yazılımı sorunları nedeniyle 2.1 milyar dolarlık eski cüzdanların risk altında olabileceğini belirtti.
Kripto dünyasının işi zor. "Dark Skippy" uzun bir güvenlik baş ağrıları zincirinin sonuncusu sadece. Ama Bitcoin inanırları için, bu oyun bir parçası.