通過 ECDSA 短簽名恢復比特幣錢包

我們都知道，ECDSA 簽名中的秘鑰洩露可以導致比特幣錢包的完全恢復。在我們之前的文章中，我們研究了區塊鏈交易中的弱點和漏洞，但也有 ECDSA 短簽名也導致比特幣錢包的完全恢復。

為什麼這些 ECDSA 簽名被稱為短簽名？

你可以從討論的話題中得到這個問題的答案：“最短的ECDSA簽名”【The shortest ECDSA signature】

在我們的上一篇文章：“使用 ECPy + Google Colab 庫通過標量乘法減少私鑰”中，我們創建了一個Python腳本：maxwell.py，它為我們生成了一個相當有趣的公鑰

(0x3b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63 , 0xc0c686408d517dfd67c2367651380d00d126e4229631fd03f8ff35eef1a61e3c)

我們知道簽名的值，"R"這是從私鑰到公鑰(Nonce)

看看區塊鏈交易：11e6b169701a9047f3ddbb9bc4d4ab1a148c430ba4a5929764e97e76031f4ee3

原始TX：

0100000001afddd5c9f05bd937b24a761606581c0cddd6696e05a25871279f75b7f6cf891f250000005f3c303902153b78ce563f89a0ed9414f5aa28ad0d96d6795f9c6302200a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8012103151033d660dc0ef657f379065cab49932ce4fb626d92e50d4194e026328af853ffffffff010000000000000000016a00000000

本次交易的規模僅為：156 байт

如何通過 ECDSA 短簽名恢復比特幣錢包？

在比特幣區塊鏈的密碼分析中，我們使用自己的Bas h腳本：btcrecover.sh

Bash 腳本：btcrecover.sh

sudo apt install python2-minimal

wget https://bootstrap.pypa.io/pip/2.7/get-pip.py

sudo python2 get-pip.py

pip2 install -r requirements.txt

chmod +x btcrecover.sh


 ./btcrecover.sh 12yysAMhagEm67QCX85p3WQnTUrqcvYVuk


 ./btcrecover.sh 15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT

結果：

| privkey : addr |

讓我們打開 bitaddress 並檢查：

ac8d0abda1d32aaabff56cb72bc39a998a98779632d7fee83ff452a86a849bc1:12yysAMhagEm67QCX85p3WQnTUrqcvYVuk
b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f:15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT

讓我們繼續實驗部分，更詳細地分析用於恢復比特幣錢包的所有腳本

打開 [TerminalGoogleColab]。

讓我們使用“09BitcoinWalletRecovery”存儲庫。

git clone https://github.com/demining/CryptoDeepTools.git

cd CryptoDeepTools/09BitcoinWalletRecovery/

ls

安裝所有必要的模塊：

bitcoin
ecdsa
utils
base58

pip2 install -r requirements.txt

使用breakECDSA.py腳本，我們從RawTX簽名 [R, S, Z]

python2 breakECDSA.py 0100000001afddd5c9f05bd937b24a761606581c0cddd6696e05a25871279f75b7f6cf891f250000005f3c303902153b78ce563f89a0ed9414f5aa28ad0d96d6795f9c6302200a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8012103151033d660dc0ef657f379065cab49932ce4fb626d92e50d4194e026328af853ffffffff010000000000000000016a00000000 > signatures.txt

結果將保存到一個文件中：signatures.txt

讓我們打開文件：PublicKeys.txt

cat signatures.txt

R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

正如我們從上一篇文章中了解到的，我們知道生成簽名的密鑰 R

在我們的例子中，密鑰是 (Nonce)：

0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0 --> 0x3b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63, 0x3f3979bf72ae8202983dc989aec7f2ff2ed91bdd69ce02fc0700ca100e59ddf3

簽名：

K = 0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0
R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

現在我們知道 ] 的值，[K, R, S, Z我們可以使用公式獲取私鑰並恢復比特幣錢包。

私鑰 = ((((S * K) - Z) * modinv(R,N)) % N)

要獲取私鑰，我們將使用Python腳本：calculate.py

def h(n):
    return hex(n).replace("0x","")

def extended_gcd(aa, bb):
    lastremainder, remainder = abs(aa), abs(bb)
    x, lastx, y, lasty = 0, 1, 1, 0
    while remainder:
        lastremainder, (quotient, remainder) = remainder, divmod(lastremainder, remainder)
        x, lastx = lastx - quotient*x, x
        y, lasty = lasty - quotient*y, y
    return lastremainder, lastx * (-1 if aa < 0 else 1), lasty * (-1 if bb < 0 else 1)

def modinv(a, m):
    g, x, y = extended_gcd(a, m)
    if g != 1:
        raise ValueError
    return x % m
    
N = 0xfffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364141


K = 0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0
R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de


print (h((((S * K) - Z) * modinv(R,N)) % N))

讓我們運行 Python 腳本：calculate.py

python3 calculate.py

PrivKey = b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f

讓我們打開 bitaddress 並檢查：

ADDR: 15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT
WIF:  L3LxjEnwKQMFYNYmCGzM1TqnwxRDi8UyRzQpVfmDvk96fYN44oFG
HEX:  b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f

找到私鑰！

比特幣錢包恢復了！

Короткие подписи ECDSA是丟失硬幣的潛在威脅 BTC，因此我們強烈建議大家始終更新軟件並僅使用經過驗證的設備。

該視頻是為 CRYPTO DEEP TECH門戶網站創建的，以確保橢圓曲線上的數據和密碼學的金融安全性免受加密貨幣中 secp256k1 弱簽名的影響 ECDSABITCOIN

來源

電報： https: //t.me/cryptodeeptech

視頻素材：https://youtu.be/xBgjWE5tA7Y

來源：https://cryptodeep.ru/shortest-ecdsa-signature

密碼分析

Восстановление Биткоин Кошелька через короткие подписи ECDSA

Crypto Deep Tech

Twist Attack 示例 #2 繼續執行一系列 ECC 操作以獲取比特幣錢包私鑰的值

在本文中，我們將使用示例#2 實現扭曲攻擊，根據文章的第一理論部分，我們確保借助 secp256k1 橢圓曲線上的某些點，我們可以獲得部分值私鑰並在 5-15 分鐘內使用“Sagemath pollard rho 函數：(discrete_log_rho)”和“中國剩餘定理”恢復比特幣錢包。讓我們繼續進行一系列 ECC 操作，因為這些特定點是 secp256k1 橢圓曲線上的惡意選擇點 https://github.com/christianlundkvist/blog/blob/master/2020_05_26_secp256k1_twist_attacks/secp256k1_twist_attacks.md 根據 Paulo Barreto 的推文：https://twitter.com/pbarreto/status/825703772382908416 ?s=21 餘因子為3^2*13^2*3319*22639 E1: 20412485227 E2: 3319, 22639 E3: 109903, 12977017, 383229727 E4: 18979 E6: 10903, 5290657, 10833080827, 22921299619447 prod = 20412485227 * 3319 * 22639 *109903 * 12977017 * 383229727 * 18979 * 10903 * 5290657 * 10833080827…

Crypto Deep Tech

從 2014 年到 2022 年對比特幣和其他加密貨幣的所有已知物理攻擊。

https://www.youtube.com/embed/YRtxzkB3tV4 本文將重點關注我們的加密貨幣的物理安全性。我們長期從事密碼分析，決定收集 2014 年至 2022 年期間發生的所有已知的比特幣物理攻擊事件。. 日期受害者地點描述2014 年 12 月 29 日哈爾芬尼加利福尼亞州聖巴巴拉比特幣開發商在數月的騷擾和勒索後遭到重創 2015 年 1 月 3 日阿曼達麥科勒姆美國佐治亞州亞特蘭大BTM竊賊襲擊煙店，開火槍 2015 年 1 月 22 日馬丁維斯梅爾荷蘭阿姆斯特丹小偷偷走了 2 台比特幣 ATM 2015 年 2 月院長卡茨紐約，紐約比特幣交易員持槍搶走 12,000 美元 2015 年 5 月 27 日德韋恩·理查茲紐約，紐約消防員被綁架，被搶走 1,100 美元，並被加密貨幣竊賊刺傷 2015 年 11 月 16 日羅伯特·尼德霍德荷蘭代爾夫特小偷偷走了裝有 2,000 歐元的比特幣 ATM 2016 年 7 月 11 日泰德·卡斯普蒂斯立陶宛考納斯加密貨幣高管在洗車場被綁架…

Crypto Deep Tech

隨著區塊鏈的價值變得對各種攻擊具有吸引力，跨鏈橋接

https://www.youtube.com/embed/9rDEepQOyaM 本文將重點關注跨網橋協議中的一個漏洞，該漏洞對不同區塊鏈之間的智能合約是一個很大的安全威脅。跨橋對黑客來說是一個很有吸引力的目標，因為它們通常代表著資金的中央存儲點，這些資金支持接收方區塊鏈上的“橋”資產。什麼是網橋協議？橋接器旨在解決不同區塊鏈之間的互操作性問題。橋是一種允許用戶將數字資產從一個區塊鏈轉移到另一個區塊鏈的協議。最著名的例子之一是橋接協議，它允許用戶在不同的智能合約區塊鏈（如 Solana 和以太坊）之間Wormhole移動加密貨幣。NFT今年2 月2022，有一個案例是一名不知名的黑客在智能合約代碼中發現了一個漏洞，允許他在不提供必要的等價抵押品的情況下Wormhole創建。 120 000 Wrapped EthereumSolana (WeETH)Ethereum Wormhole 區塊鏈橋確認該漏洞竊取了價值 3.2 億美元的加密資產。要了解為什麼此事件比普通黑客攻擊更嚴重，我們需要了解跨橋的工作原理。用戶通過將一種資產中的資金發送到橋協議來與橋進行交互，然後將資金固定在合同中。然後，用戶將獲得協議所連接鏈上平行資產的等價資金。在 Wormhole 的情況下，用戶通常將以太幣發送(ETH)到協議，在那裡它作為抵押品存儲，並發行WeETH到Solana，由合約中鎖定的抵押品支持Wormhole到Ethereum。這次高調的黑客攻擊意味著3.2 億WeETH美元Solana在一定時間內沒有得到保障。如果WeETH以太坊得不到保障，這將意味著許多Solana以接受WeETH為抵押品為基礎的平台可能會資不抵債。我們可以看到用戶急於出售他們的 WeETH，導致其價值下降，對區塊鍊和建立在其上的Solana龐大生態系統產生重大影響，因為其中許多協議也依賴於支持已發行的資產。用戶。事實上，昨晚我們看到了的價格，許多人將其歸因於對黑客攻擊的恐懼。DeFiWeETHSolana13,5% Jump Trading 是 Wormhole 的母公司，也是 Solana 生態系統的主要參與者，他發推文說： Jump TradingETH在嘗試向黑客支付被盜資金獎勵的嘗試被忽略後，提供硬幣來替換被盜資金。橋樑施工橋樑設計各不相同，用戶通常通過將一種資產中的資金發送到橋樑協議來與橋樑進行交互，然後將資金固定在合同中。然後，用戶將獲得與協議連接的鏈上的平行資產的等價資金。在蟲洞的情況下，用戶通常將以太幣發送(ETH)到協議，在那裡它作為抵押品存儲，並釋放ETH蟲洞包裝到Solana，由蟲洞合約中鎖定的抵押品支持到Ethereum。易受攻擊的跨橋橋樑是一個有吸引力的目標，因為它們通常代表支持主機區塊鏈上“橋樑”資產的資金的中央存儲點。無論這些資金是存儲在智能合約中還是中心化託管人中，這個存儲點都會成為目標。此外，高效的橋樑設計仍然是一個未解決的技術問題，許多新模型正在開發和測試中。隨著最佳實踐的不斷改進，這些不同的方案代表了攻擊者可以利用的新攻擊向量。就在幾年前，中心化交易所還是業內最常見的黑客攻擊目標。如今，成功破解集中式交易所的案例很少見。這是因為這些組織優先考慮他們的安全性，也因為黑客總是在尋找最新和最易受攻擊的服務。雖然不可靠，但解決此類問題的有價值的第一步可能是極其嚴格的代碼審計，這將成為DeFi這些構建協議和評估它們的投資者的黃金標準。隨著時間的推移，最可靠和安全的智能合約可以作為開發人員的模板。加密貨幣服務，包括但不限於橋樑，必須投資於安全措施和培訓。結論：目前，所有這些對橋樑的現代攻擊佔了一年69%內被盜的所有資金。2022這對區塊鏈技術構成了嚴重威脅。隨著越來越多的價值通過跨鏈橋，它們對黑客的吸引力就越大。 GitHub 電報：https://t.me/cryptodeeptech 視頻素材：https://youtu.be/9rDEepQOyaM 來源：https://cryptodeep.ru/cross-chain-bridge 密碼分析

«CRYPTO DEEP TECH»

通過 ECDSA 短簽名恢復比特幣錢包

為什麼這些 ECDSA 簽名被稱為短簽名？

原始TX：

如何通過 ECDSA 短簽名恢復比特幣錢包？

Bash 腳本：btcrecover.sh

結果：

讓我們繼續實驗部分，更詳細地分析用於恢復比特幣錢包的所有腳本

安裝所有必要的模塊：

結果將保存到一個文件中：signatures.txt

簽名：

讓我們運行 Python 腳本：calculate.py

Related Posts

Crypto Deep Tech