As software libraries da Ripple (XRP) publicadas antes de agosto de 2015 renderizavam chaves privadas que assinavam várias transações vulneráveis, anunciou a Ripple em um comunicado divulgado em 16 de janeiro.
Uma pesquisa recente conduzida em conjunto pela Fundação DFINITY e a Universidade da Califórnia revelou que uma parte dos endereços de Bitcoin (BTC), Ethereum (ETH) e Ripple são vulneráveis.
Como é conhecido entre os criptógrafos, a segurança dos Algoritmos de Assinatura Digital de Curvas Elípticas (ECDAs) empregados pelas criptomoedas mencionadas acima é altamente dependente de dados aleatórios, conhecidos como nonces. A pesquisa explica ainda:
“É bem sabido que, se uma chave privada ECDSA é usada para assinar duas mensagens com o mesmo número de assinaturas nonces, a chave privada de longo prazo é trivial para computar [crack]”.
Os pesquisadores afirmam ter hackeado com sucesso centenas de Bitcoin, alguns de Ethereum, SSH (controle remoto para sistemas unix-like), HTTPS e uma chave XRP privada graças às chamadas nonces tendenciosas (com baixo grau de aleatoriedade). Explicar, as conseqüências de tais vulnerabilidades são vastas:
“No caso de criptomoedas, essas chaves nos dão, ou qualquer outro invasor, a capacidade de reivindicar os fundos nas contas associadas. No caso de SSH ou HTTPS, essas chaves nos dariam, ou a qualquer outro invasor, a capacidade de representar os hosts finais. ”
Ainda assim, o documento explica que tais vulnerabilidades podem ser evitadas:
“Todos os ataques que discutimos neste artigo podem ser evitados usando a geração nonce ECDSA determinística, que já está implementada nas bibliotecas padrão Bitcoin e Ethereum.”
De acordo com a Ripple, a geração nonce determinística também faz parte de seu software desde agosto de 2015. Esse recurso também torna os endereços que interagiram com o blockchain utilizando novas bibliotecas de software protegidos contra essa vulnerabilidade.
Embora a criptografia esteja longe da perfeição, sistemas centralizados como trocas e sistemas computacionais isolados são atacados com sucesso com muito mais frequência do que chaves privadas, afirma a pesquisa. O documento observa ainda que durante a pesquisa, o acesso foi obtido a apenas US $ 54 BTC e $ 14 de XRP.
Links das documentações:
https://ripple.com/dev-blog/statement-on-the-biased-nonce-sense-paper/
https://eprint.iacr.org/2019/023.pdf