SlowMist: Обнаружена критическая уязвимость безопасности в библиотеке эллиптической криптографии

По данным Foresight News, компания SlowMist Technology заявила, что в криптографической библиотеке elliptic, широко используемой в экосистеме JavaScript, была обнаружена серьезная уязвимость безопасности (GHSA-vjh7-7g9h-fjfh). Злоумышленники могут извлечь закрытые ключи с помощью одной подписи, создавая специфические входные данные, тем самым получая полный контроль над цифровыми активами или учетными данными жертвы. Корень этой уязвимости заключается в дефектах обработки нестандартных входных данных библиотекой elliptic, что приводит к возможности повторения случайного числа k в подписях ECDSA. Поскольку безопасность алгоритма ECDSA сильно зависит от уникальности k, при повторении k закрытый ключ может быть напрямую выведен, что приводит к необратимым рискам безопасности.