SlowMist : Vulnérabilité de sécurité critique découverte dans la bibliothèque de cryptographie elliptique

Foresight News rapporte que SlowMist Technology a déclaré qu'une grave vulnérabilité de sécurité (GHSA-vjh7-7g9h-fjfh) a été découverte dans la bibliothèque cryptographique elliptique, largement utilisée dans l'écosystème JavaScript. Les attaquants peuvent extraire des clés privées avec une seule signature en créant des entrées spécifiques, obtenant ainsi un contrôle total sur les actifs numériques ou les identifiants d'identité de la victime. La cause principale de cette vulnérabilité réside dans les défauts de gestion des entrées non standard par la bibliothèque elliptique, ce qui conduit à la possibilité de répétition du nombre aléatoire k dans les signatures ECDSA. Étant donné que la sécurité de l'algorithme ECDSA repose fortement sur l'unicité de k, une fois que k est répété, la clé privée peut être directement dérivée, entraînant des risques de sécurité irréversibles.