Dark Skippy:如何用2个签名黑掉你的硬件钱包私钥?
概要:本文介绍了一种名为Dark Skippy的新型硬件钱包破解技术,它通过在硬件钱包中植入恶意固件,利用低随机性签名将用户的助记词嵌入到比特币交易中,再从区块链上提取助记词以盗取用户资产。文章还解释了比特币签名的原理、如何避免此类攻击,并提出了多重签名作为解决方案。
本文作者:OneKey 中文@OneKeyCN。发文时间:下午10:59 · 2024年8月14日
海外加密安全圈炸锅了。
又一个改进的硬件钱包破解手段披露,更高更快更强。服了,难道黑客白帽们也在搞奥运?
OneKey 将会用尽量简单语言来解释,一起潜入 👇
(1)黑客是如何黑入视频里的硬件钱包的?✨
1. 攻击者将恶意固件刷到你的硬件钱包上。
2. 黑客使用这个带有恶意固件的硬件钱包发送比特币交易。恶意固件会将你的助记词通过低随机性签名的方式「嵌入」到这笔交易中,而这笔交易会公开地存储在区块链上。
3. 攻击者在区块链上找到你的交易,运行一个特殊算法,从中提取出你的比特币助记词。
4. 拿到你的助记词后,攻击者就能访问并盗走你的比特币。
(2)这个具体的攻击算法的原理是什么?✨
到这里会需要你对 BTC 转账有点了解。如果你不是个爱刨根问底的好奇宝宝,可以直接跳到下一个如何避免被攻击 :)
在进行比特币转账前——你需要准备好交易数据,这包括交易的输入(也就是你要花费的比特币来源)和输出(你要把比特币转到哪里)。
随后你通过哈希算法计算出消息哈希值。这是需要签名的数据摘要,你可以理解为「浓缩的交易数据」。
接下来重头戏来了——你需要对这个交易数据进行签名。以椭圆曲线数字签名算法(ECDSA)为例,你需要结合一个内部随机数 k 来输出签名结果。
随机数 k 的引入是为了确保每次签名的唯一性和安全性。假如你每次使用相同的随机数 k,那么虽然你签署的消息(交易)可能不同,生成的签名却可能出现规律,导致攻击者通过数学分析破解你的私钥。
因此,每次都使用一个不可预测的随机数 k 可以保证每次生成的签名都是独一无二的,即使对同一个消息进行多次签名,结果也会不同。
随后矿工就会验证并把交易打包广播到区块链。
在早期一些不规范的使用中,多次随机性不好的签名就有可能被黑客算出私钥。(都是 2013 的甚至更早的事情了)现在大部分硬件钱包,包括 OneKey,都采用了 RFC6979 安全标准,保证这个内部随机数在数学上足够随机。
这也是为什么早期的时候很多比特币 OG 的地址都是用一次换一次,公钥暴露降低比特币地址的安全度,还得手动设置专门的找零地址。现代比特币钱包(如HD钱包,分层确定性钱包)可以自动生成和管理大量地址,并将其背后的复杂性隐藏起来。当然,这里就扯远了,有兴趣的朋友可以自行考古。
到这里,理解下面视频里面的攻击就不难了:
虽然我无法直接从加密芯片上读取私钥,但是假如我能修改你的固件里面的随机算法,让这个随机数 k 不随机,我就能通过几次签名,通过链上广播的信息反求出你的私钥。
从某种意义上,这就等于把私钥嵌入到你的多个签名里了。在 Dark Skippy 中,他们将这个需求降低到了只需要2个签名(对于12个助记词而言 2 个,24个助记词需要4个签名)来破解私钥。确实比以往的方法更高效了。
(3)如何避免被攻击?✨
这一攻击成功,在于两件事,他们成功「拿到」了无辜用户的硬件钱包,并且成功「植入」恶意固件。
所以……
1. 确保硬件钱包从出厂、运输直到你的手里,没被第三方碰过。
现在几家硬件钱包品牌包括 Onekey,都有多层的防拆、加密塑封设计的「防供应链攻击」。保证到货后如果有拆封痕迹都能够立即发现。
建议您从收到货开始全程录像开箱,作为售后依据!
开始使用了之后,也要保管好钱包。确保你的硬件钱包不会被别人拿到,防止被恶意修改。
2. 确保固件代码不会被人恶意修改。
确保你是从官网渠道下载的更新。
还要做好校验工作。这里这里各家厂商的措施都不太一样,下面以 OneKey 为例,如果您使用其他厂商的可以查询下相关的措施。
首先,我们的软件和硬件代码是开源的(https://github.com/OneKeyHQ),并通过了慢雾科技
@SlowMist_Team和@Offside_Labs等知名安全机构的审计。
其次,OneKey 最新的硬件采用多颗军工级保密 EAL 6+ 芯片,机器和 App 都会自动校验固件。机器开机后,如果是非官方固件的签名,会被检测到并硬抹除助记词数据。你甚至不能恶意降级——这同样会导致助记词被抹除。
同时,用户可以自行验证的固件代码一致性,参考这篇:验证 OneKey 发布的固件文件与开源代码的一致性。
(4)总之 ✨
无论如何,如果硬件钱包一旦丢失或者落入黑客手中,我们都建议立即启用备份助记词,尽快转移资产,确保万无一失。
这个风险相对于助记词触网储存和钓鱼,还是比较小的。
✨ 补充阅读:
在原文提到的攻击方法中,提到了一种方式也能够预防——“反泄露 Anti-exfil”,是一种防止上述攻击的方法。简单来说,反泄露是一种安全技术,它将硬件签名设备的熵与第二台设备(通常是伴随软件钱包的主机)的熵结合起来生成随机数。
然而,这种方法有两个缺点。
首先,目前还没有反泄露的完全公认的标准,这个还在发展中,所以你必须信任供应商完美实施了反泄露。
其次,由于反泄露改变了生成签名的方式,即每笔交易都需要从第二台设备获取随机数,这与当前大多数比特币钱包的工作方式不兼容,因此会带来用户界面和体验上的挑战。
在反泄露有了明确的标准并获得更广泛的钱包兼容性之前,如果你真的很担心「Dark Skippy」,我们建议使用多重签名作为更实用的解决方案。
多重签名与反泄露在本质上实现了相同的目标:它也需要来自第二台设备的熵来授权每笔比特币交易。如果你愿意,多重签名还可以从不止两台设备中添加熵(例如3-of-5多重签名)。最后但同样重要的是,多重签名在比特币中已经使用了10多年,经受住了考验(保护了数千亿比特币),并且已经非常标准化(比如PSBT、BSMS、输出描述符等标准)。
很多大的公司和基金,包括门头沟、贝莱德等,都在用比特币多签。
英文资源:Dark Skippy Disclosure
Dark Skippy 是一种强大的方法,用于恶意签名设备泄露秘钥。
使用 Dark Skippy,恶意签名者可以利用修改后的签名函数,通过将主秘钥嵌入交易签名中,高效且隐蔽地输出他们的主秘密种子。
这种攻击是在比特币签名设备和硬件钱包的背景下发现和讨论的,尽管可能适用于比特币之外的环境。
Dark Skippy 需要签名者通过恶意固件受损。Dark Skippy 在野外尚未被发现。