Ripple: somente chaves privadas XRP que usavam software de antes de agosto de 2015 são vulneráveis

As bibliotecas de software Ripple (XRP) publicadas antes de agosto de 2015 renderizavam chaves privadas que assinavam várias transações vulneráveis, anunciou a Ripple em um comunicado divulgado em 16 de janeiro.

Uma pesquisa recente conduzida em conjunto pela Fundação DFINITY e a Universidade da Califórnia revelou que uma parte dos endereços Bitcoin (BTC), Ethereum (ETH) e Ripple são vulneráveis.

Como é conhecido entre os criptógrafos, a segurança dos Algoritmos de Assinatura Digital de Curvas Elípticas (ECDSAs) empregados pelas criptomoedas mencionadas acima é altamente dependente de dados aleatórios, conhecidos como nonces. A pesquisa explica ainda:

"É bem sabido que, se uma chave privada ECDSA é usada para assinar duas mensagens com o mesmo número de assinaturas, a chave privada de longo prazo é trivial para computar [o crack]".

Os pesquisadores afirmam ter conseguido hackear centenas de Bitcoin, alguns Ethereum, SSH (controle remoto para sistemas unix-like), HTTPS e uma chave privada XRP graças às chamadas nonces tendenciosas (com baixo grau de aleatoriedade). Como explicam os pesquisadores, as consequências de tais vulnerabilidades são vastas:

“No caso das criptomoedas, essas chaves nos dão, ou a qualquer outro invasor, a capacidade de reivindicar os fundos nas contas a elas associadas. No caso de SSH ou HTTPS, essas chaves nos dariam, ou a qualquer outro invasor, a capacidade de representar os hosts finais.”

Ainda assim, o documento explica que tais vulnerabilidades podem ser evitadas:

"Todos os ataques que discutimos neste artigo podem ser evitados usando a geração nonce ECDSA determinística, que já está implementada nas bibliotecas padrão Bitcoin e Ethereum."

De acordo com a Ripple, a geração de nonce determinística também faz parte de seu software desde agosto de 2015. Esse recurso também torna os endereços que interagiram com a blockchain utilizando novas bibliotecas de software protegidos contra essa vulnerabilidade.

Embora a criptografia esteja longe da perfeição, sistemas centralizados como exchanges e sistemas computacionais isolados são atacados com sucesso com muito mais frequência do que chaves privadas, afirma a pesquisa. O documento observa ainda que durante a pesquisa, o acesso foi obtido a apenas US $ 54 em BTC e US $ 14 em XRP.

Como reportado pela Cointelegraph a exchange cripto Cryptopia com sede na Nova Zelândia suspendeu seus serviços após a detecção de um grande hack que supostamente resultou em prejuízos significativos.

Além disso, recentemente foi divulgada a notícia de que um recente surto de ataques de ransomware - que estima-se ter rendido aos hackers 705,08 Bitcoin (2,5 milhões de dólares) provavelmente veio de cibercriminosos russos e não de atacantes patrocinados pelo Estado norte-coreano, como se pensava inicialmente.