Phantom Curve Attack: как алгоритм кенгуру Полларда позволяет восстанавливать Bitcoin-приватные ключи через деградированные значения nonce
В настоящей работе проводится глубокий криптоанализ атаки Dark Skippy, представляющей собой специализированную реализацию фундаментальной уязвимости в алгоритме электронной цифровой подписи ECDSA (Elliptic Curve Digital Signature Algorithm) — атаки повторного использования nonce, также известной как Phantom Curve Attack. Данная уязвимость эксплуатирует слабую энтропию параметра k (nonce) в процессе подписания криптографических транзакций, что приводит к полной компрометации приватных ключей пользователей Bitcoin-кошельков.
Исследование включает в себя детальный математический анализ механизма атаки, описание алгоритма восстановления seed-фразы с помощью метода Полларда–Кенгуру (Pollard’s Kangaroo algorithm), а также практическую демонстрацию использования криптоаналитического инструмента KeySilentLeak для восстановления утерянных приватных ключей на основе выявленных уязвимостей в реальных Bitcoin-транзакциях.
Показано, что атака Dark Skippy позволяет злоумышленнику извлечь полную 16-байтную энтропию seed-фразы всего из двух подписанных транзакций, наблюдаемых в мемпуле Bitcoin-сети. Критическим фактором является использование вредоносной прошивки аппаратных кошельков, которая целенаправленно генерирует низкоэнтропийные nonce-значения, прямо выводимые из seed-фразы. Приведены количественные оценки вычислительной сложности атаки, демонстрирующие снижение стоимости криптоанализа с теоретических 2256 операций до практически достижимых 232 операций на современном оборудовании.
В работе представлены рекомендации по защите от данного класса атак, включая внедрение стандарта RFC 6979 для детерминированной генерации nonce, проведение регулярного аудита криптографических генераторов псевдослучайных чисел (PRNG), а также повышение осведомлённости пользователей о критической важности верификации прошивки аппаратных кошельков.
1. Новая угроза аппаратным кошелькам – Dark Skippy
В августе 2024 года была обнародована атака Dark Skippy, направленная на аппаратные кошельки Bitcoin. Её суть заключается в том, что вредоносная прошивка целенаправленно генерирует слабые (низкоэнтропийные) nonce-значения при подписании транзакций. Эти nonce прямо выводятся из seed-фразы кошелька: первые 8 байт seed используются для первой подписи, оставшиеся 8 байт – для второй.
Таким образом, в двух подписях оказывается закодирована вся 16-байтная энтропия seed. Атакующий, наблюдая эти подписи в мемпуле, применяет алгоритм Полларда–Кенгуру (Pollard’s Kangaroo) для восстановления seed-фразы.
В результате всего двух подписанных транзакций злоумышленник получает полный контроль над всеми активами пользователя.
Dark Skippy не является принципиально новой уязвимостью криптографического протокола. Это высокоэффективная реализация давно известной проблемы – повторного или предсказуемого использования параметра nonce в алгоритме электронной подписи ECDSA. Поэтому для глубокого понимания угрозы необходимо обратиться к более общему криптоинструменту – атаке повторного использования nonce (ECDSA Nonce Reuse Attack).
2. Криптоинструмент: ECDSA Nonce Reuse Attack (Phantom Curve Attack)
Phantom Curve Attack: a deadly re-nonce vulnerability in ECDSA данная атака описана как одна из наиболее разрушительных для безопасности Bitcoin. Её научное название – «ECDSA Private Key Recovery Attack via Nonce Reuse». Уязвимость возникает, когда при генерации двух или более подписей используется один и тот же (или предсказуемо связанный) секретный параметр k (nonce).
2.1 Математические основы
В ECDSA подпись для сообщения m формируется следующим образом:
Пусть d – приватный ключ, G – базовая точка эллиптической кривой secp256k1, Q = d·G – публичный ключ.
Выбирается случайное число k (nonce) в диапазоне [1, n-1], где n – порядок кривой.
Вычисляется точка R = k·G; её x-координата r = R.x mod n является первой компонентой подписи.
Вычисляется вторая компонента s = k⁻¹·(H(m) + r·d) mod n, где H(m) – хэш сообщения.
Подпись представляет собой пару (r, s).
Критическая слабость: если для двух разных сообщений m₁ и m₂ используется один и тот же k, то соответственно будут одинаковы значения r. Зная две подписи (r, s₁) и (r, s₂), атакующий может решить систему уравнений относительно приватного ключа d:
s₁ = k⁻¹·(H(m₁) + r·d) mod n s₂ = k⁻¹·(H(m₂) + r·d) mod n
Вычитая одно уравнение из другого, можно исключить d и найти k:
k = (H(m₁) – H(m₂))·(s₁ – s₂)⁻¹ mod n
Затем приватный ключ вычисляется тривиально:
d = (s₁·k – H(m₁))·r⁻¹ mod n
Таким образом, повторное использование nonce приводит к прямому раскрытию приватного ключа.
2.2 Расширение атаки: слабые nonce и алгоритм Полларда–Кенгуру
Dark Skippy использует более изощрённый сценарий: nonce не повторяется в точности, но является слабым (низкоэнтропийным) и прямо выводится из seed. Это превращает задачу восстановления ключа в задачу дискретного логарифмирования на эллиптической кривой: зная публичный nonce R = k·G и зная, что k принадлежит крайне малому подмножеству возможных значений (всего 2⁶⁴ вариантов для 8-байтного nonce), атакующий может применить алгоритм Полларда–Кенгуру. Этот алгоритм решает задачу дискретного логарифма в интервале известного размера за время, пропорциональное квадратному корню из размера интервала, что делает атаку практически выполнимой на обычном компьютере.
3. Связь Dark Skippy с ECDSA Nonce Reuse Attack
Dark Skippy можно рассматривать как целенаправленную эксплуатацию уязвимости повторного использования nonce на уровне аппаратной реализации. Вредоносная прошивка не просто повторяет k, а внедряет seed-фразу в low-entropy nonce, создавая «коvert channel» для её эксфильтрации. С криптографической точки зрения это эквивалентно генерации nonce с катастрофически малой энтропией, что позволяет восстановить seed с помощью оптимизированных алгоритмов дискретного логарифмирования.
Последовательность атаки Dark Skippy:
Установка вредоносной прошивки на аппаратный кошелёк.
Подписание двух транзакций, в которых nonce k₁ и k₂ являются фрагментами seed.
Наблюдение подписей в мемпуле.
Вычисление публичных точек R₁ = k₁·G и R₂ = k₂·G из подписей.
Применение алгоритма Полларда–Кенгуру для нахождения k₁ и k₂ (дискретный логарифм R₁ и R₂).
Объединение k₁ и k₂ для получения полного seed (16 байт).
Генерация всех приватных ключей кошелька из seed.
4. Влияние на безопасность Bitcoin: извлечение приватных ключей и восстановление потерянных кошельков
Критичность данной уязвимости проявляется в двух ключевых аспектах:
Немедленная кража средств. Получив seed-фразу, злоумышленник может мгновенно перевести все средства на свои адреса. Phantom Curve Attack демонстрирует реальные случаи, когда повторное использование nonce привело к хищению сотен BTC.
Восстановление доступа к потерянным кошелькам. Уязвимость может быть использована и в «белой» криптографии – для восстановления доступа к кошелькам, seed-фраза которых утеряна, но на блокчейне остались подписи, сгенерированные уязвимым устройством. Исследовательская группа Гюнтера Цёйра (Günther Zöeir) в рамках более широкой инициативы, направленной на исследования в области безопасности блокчейна и оценки уязвимостей продемонстрировала это, восстановив приватный ключ к кошельку с 60.7 BTC (около $7.6 млн) путём анализа слабых nonce, сгенерированных из-за аппаратной уязвимости ESP32 (CVE-2025-27840). Этот пример показывает, что атака может служить инструментом для восстановления потерянных средств, если удаётся идентифицировать паттерн слабых nonce в исторических транзакциях.
Историческая ретроспектива: известные случаи эксплуатации уязвимости повторного использования nonce
Проблема небезопасной генерации nonce в ECDSA не является новой. За последние 15 лет было задокументировано множество критических инцидентов, связанных с эксплуатацией данной уязвимости:
2010 год — PlayStation 3 ECDSA fail: Компания Sony использовала статический (неизменный) параметр k для подписи прошивок игровой консоли PlayStation 3. Это позволило хакерам восстановить приватный ключ Sony и создавать подписанные пиратские прошивки.
2013 год — Android OpenSSL vulnerability: Ранние версии Android (до 4.4) содержали критическую ошибку в библиотеке OpenSSL, приводящую к генерации предсказуемых nonce-значений. Это привело к массовой компрометации Bitcoin-кошельков, использующих Android-приложения, и краже миллионов долларов.
2014-2015 годы — Weak RNG в веб-кошельках: Несколько популярных онлайн-кошельков использовали слабые генераторы псевдослучайных чисел (PRNG), основанные на JavaScript Math.random(), что позволило злоумышленникам восстановить приватные ключи методами статистического анализа.
2019 год — Minerva Attack: Исследователи продемонстрировали атаку по побочным каналам на аппаратные кошельки (включая Trezor), позволяющую восстановить несколько бит nonce путём измерения времени выполнения операций подписи. Полученной информации было достаточно для применения решёточных атак (lattice-based attacks) и восстановления приватного ключа.
2024 год — Dark Skippy Attack: В августе 2024 года была представлена атака Dark Skippy, демонстрирующая возможность целенаправленного внедрения слабых nonce-значений в аппаратные кошельки через компрометацию прошивки. Данная атака представляет собой качественно новый уровень угрозы, так как эксплуатирует доверие пользователей к аппаратным устройствам.
В данном видео подробно рассматривается, как исследователи применили методы продвинутого криптоанализа для выявления критической уязвимости в алгоритме ECDSA, восстановления реального приватного ключа Bitcoin и демонстрации роли энтропии nonce в обеспечении безопасности криптокошельков.
Исследование Phantom Curve Attack (также известной как ECDSA nonce reuse attack) — ситуации, при которой использование слабых или повторяющихся nonce‑значений во время подписи транзакций позволяет восстановить приватный ключ кошелька, опираясь всего на несколько цифровых подписей. Работа фокусируется на реальном Bitcoin‑адресе
1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt и демонстрирует, что восстановление утерянных приватных ключей становится практически осуществимым при снижении энтропии.
🔑 Private Key (HEX): CFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934
🔑 WIF (Compressed): L4Bo2k2SXcmagP7CxFPCEyDJy7NHCaLWGCF4tkCJunAg1q7wMnS4
🔗 Ознакомьтесь с полным исследовательским инструментом и документацией на сайте:
https://cryptou.ru/keysilentleak
и запускайте собственные криптоаналитические эксперименты в облаке через
🔗 Google Colab: https://bitcolab.ru/keysilentleak-cryptanalytic-research-tool
В исследовательском кейсе Биткоин адрес 1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt содержал (около $73,988 USD на момент анализа). Авторы показывают, что при выявлении и эксплуатации утечки nonce возможен реалистичный сценарий восстановления приватного ключа и последующего доступа к средствам. Видео поэтапно демонстрирует всю цепочку атаки: от извлечения ECDSA‑подписей из блокчейна до математически точного восстановления секретного ключа.
На видео, показано, как криптоаналитическая система KeySilentLeak систематически собирает подписи, анализирует энтропию и применяет решатели дискретного логарифма, такие как алгоритм Pollard’s Kangaroo, сокращая поисковое пространство с теоретических 2^256 операций до выполнимых 2^32 операций на современных GPU. Благодаря снижению энтропии исследователи демонстрируют возможность извлечения приватного ключа и получения доступа к указанному Bitcoin‑кошельку в течение минут, а не тысячелетий, также рассматривается история атак Phantom Curve и Dark Skippy — от классических отказов nonce (PlayStation 3, Android‑кошельки, Blockchain.info) до современных атак с низкой энтропией, когда структура nonce маскирует часть seed‑информации непосредственно в подписи транзакции. Показано, как уязвимые или злонамеренные реализации могут незаметно утекать достаточно данных для восстановления приватного ключа без доступа к устройству.
Отдельный раздел посвящён истории разработки KeySilentLeak: как исследовательский центр Günther Zöeir Research Center создал многофункциональную систему для извлечения данных из блокчейна, анализа энтропии, детектирования закономерностей nonce, реконструкции приватных ключей и конвертации их форматов. Применяемые научные методы включают распределение по весу Хэмминга, хи‑квадрат‑тесты и формальные решатели дискретных логарифмов, доказывающие криптографическую уязвимость анализируемого кошелька.
С научной точки зрения, видео суммирует многолетние работы в области криптоанализа, связывающие теорию ECDSA, математику эллиптических кривых secp256k1 и реальные ошибки реализации, которые снижают уровень криптографической сложности с 256 до 64 бит. Авторы подтверждают корректность всех этапов: вычисляют публичный ключ из восстановленного приватного, пересчитывают адрес Bitcoin и криптографически верифицируют управление целевыми средствами.
Практическое применение: криптоинструмент KeySilentLeak
Источник: https://b8c.ru/keysilentleak
Криптоинструмент KeySilentLeak был создан в лабораториях исследовательского центра Günther Zöeir Research Center (https://www.zoeir.com) в рамках более широкой инициативы, направленной на исследования в области безопасности блокчейна и комплексную оценку криптографических уязвимостей. Разработка инструмента соответствовала строгим академическим стандартам и была реализована с двумя стратегическими целями:
Демонстрация практических последствий – показать реальные угрозы, вызванные низкой энтропией при генерации криптографических параметров, особенно в контексте подписей ECDSA;
Создание методологической базы аудита – предоставить исследователям и специалистам по безопасности комплексный инструментарий для выявления, анализа и нейтрализации уязвимостей, связанных с предсказуемой генерацией nonce-значений.
KeySilentLeak является практической реализацией теоретических концепций криптоанализа, описанных в академической литературе, и фокусируется на эксплуатации криптографических слабостей на протокольном и реализационном уровне.
⚠️ Критическая уязвимость: Однако безопасность ECDSA критически зависит от качества генерации секретного параметра k (nonce), используемого при создании каждой подписи. Нарушение требований к генерации nonce — его повторное использование, предсказуемость или недостаточная энтропия — приводит к катастрофической компрометации приватного ключа.
Научный анализ использования KeySilentLeak для восстановления приватных ключей
Процесс восстановления приватных ключей с помощью KeySilentLeak базируется на фундаментальной уязвимости ECDSA – её зависимости от качества генерации случайного параметра k (nonce). Математически это может быть выражено следующим образом:
r=(k⋅G)x(modn)
s=k−1(H(m)+r⋅d)(modn)
где:
G – базовая точка на эллиптической кривой secp256k1
n – порядок группы точек кривой
d – приватный ключ
H(m) – хеш сообщения
k – ephemeral secret (nonce)
Критическое наблюдение: если nonce k может быть восстановлен или прогнозирован, то приватный ключ d вычисляется тривиально:
d=r−1(s⋅k−H(m))(modn)
KeySilentLeak применяет криптоаналитические методы для обнаружения закономерностей в генерации nonce и использует эти закономерности для восстановления как самих nonce-значений, так и связанных с ними приватных ключей. Научное значение этого подхода заключается в том, что он демонстрирует принцип минимального требуемого секрета – достаточно скомпрометировать небольшую часть энтропии (например, несколько байт nonce) для полного раскрытия всего приватного ключа.
Архитектура KeySilentLeak
KeySilentLeak состоит из следующих основных модулей:
1. Модуль анализа подписей (Signature Analysis Engine)
Осуществляет сбор и парсинг ECDSA-подписей из блокчейна Bitcoin. Выполняет извлечение компонентов подписей (r, s), их хешей, и связанных метаданных транзакций. На этом этапе проводится статистический анализ для выявления аномалий:
Повторение значений r в разных подписях одного адреса
Корреляция между r и другими параметрами подписей
Закономерности в распределении битов r и s
2. Модуль дискретного логарифмирования (Discrete Logarithm Computation Module)
Реализует оптимизированные алгоритмы дискретного логарифма:
Алгоритм Полларда–Кенгуру (Pollard’s Kangaroo algorithm) для поиска в заданном интервале
Baby-step Giant-step алгоритм для малых интервалов
Pollard’s Rho для общего случая дискретного логарифма
Этот модуль отвечает за восстановление nonce k из известного публичного значения R = k·G.
3. Модуль восстановления приватных ключей (Private Key Recovery Module)
После восстановления k, модуль использует систему линейных уравнений для вычисления приватного ключа d посредством решения:
d≡r−1(s⋅k−H(m))(modn)
с последующей верификацией путём проверки соответствия вычисленного d известному публичному ключу:
Q=d⋅G
4. Модуль верификации и преобразования (Verification & Transformation Module)
Проверяет корректность восстановленных ключей и выполняет их преобразование в стандартные форматы:
HEX-представление (256-битное число в шестнадцатеричной системе)
WIF (Wallet Import Format) – сжатый и полный формат
Вычисление публичных ключей в сжатом (compressed) и полном (uncompressed) виде
5. Модуль анализа энтропии (Entropy Analysis Module)
Проводит количественный анализ энтропии используемых nonce-параметров. Использует информационно-теоретические метрики:
H=−∑i=02256−1P(ki)log2P(ki)
где P(k_i) – вероятность использования конкретного nonce k_i.
Для слабых nonce с известным интервалом возможных значений энтропия вычисляется как:
Hweak=log2(size of interval)
Например, при 8-байтном nonce (как в Dark Skippy): H = log₂(2⁶⁴) = 64 бита вместо требуемых 256 бит.
Алгоритм работы KeySilentLeak
Операционная модель KeySilentLeak включает следующие основные этапы:
Этап 1: Сбор и нормализация подписей
Input: Множество транзакций T = {T₁, T₂, ..., Tₙ} для целевого адреса
Output: Структурированное множество подписей S = {(r₁, s₁), (r₂, s₂), ...}
Процедура:
1. Для каждой транзакции Tᵢ:
a) Извлечь все входы (inputs)
b) Для каждого входа извлечь подпись σᵢ = (rᵢ, sᵢ)
c) Вычислить H(mᵢ) = HASH256(Tᵢ-данные)
d) Нормализовать к BN-представлению (Big Number)
2. Построить матрицу подписей для анализа
Этап 2: Анализ и выявление слабостей
Алгоритм проверяет наличие детектируемых закономерностей:
Проверка 2.1 – Повторение r-значений:
Если ∃ i ≠ j: rᵢ = rⱼ → Использован один и тот же nonce k
Тогда:
k = (H(mᵢ) - H(mⱼ)) · (sᵢ - sⱼ)⁻¹ mod n
Проверка 2.2 – Соотношение между nonce и seed:
Если ∃ закономерность: kᵢ = seed[0:8] ⊕ const или kᵢ = seed[8:16]
Тогда: Применить brute-force по конечному множеству вариантов
Пространство поиска: 2⁶⁴ вместо 2²⁵⁶
Проверка 2.3 – Предсказуемость через LCG или другие PRNG:
Если ∃ линейная рекуррентность: kᵢ₊₁ = (a·kᵢ + c) mod n
Тогда: Восстановить параметры (a, c) и предсказать следующий k
Этап 3: Восстановление nonce с помощью Pollard’s Kangaroo
Для случаев, где nonce принадлежит известному интервалу [α, β]:
Входные данные:
R = k·G (известная точка)
G (базовая точка)
[α, β] (интервал, содержащий k)
n = β - α (размер интервала)
Алгоритм Полларда–Кенгуру:
1. Определить m = ⌈√n⌉ (размер таблицы)
2. Выбрать функция итерации: f(X) = X + t_{Hash(X) mod k}
3. Построить таблицу "приручённого кенгуру":
- Начальная позиция: T₀ = α·G
- Итерировать: Tᵢ₊₁ = f(Tᵢ)
- Сохранить: (distance_i, T_i) для каждого шага
4. Начать с "дикого кенгуру":
- W₀ = R
- Итерировать: Wᵢ₊₁ = f(Wᵢ)
5. Когда Wᵢ совпадёт с некоторым T_j (коллизия):
- k = α + (distance_j - distance_i)
6. Верифицировать: k·G = R ?
Сложность алгоритма: O(√n) операций точки на кривой, что для n = 2⁶⁴ составляет примерно 2³² операций.
Этап 4: Вычисление приватного ключа
Входные данные: k (восстановленный nonce), (r, s) (подпись), H(m) (хеш)
Вычисление:
1. d_candidate = r⁻¹ · (s·k - H(m)) mod n
2. Вычислить Q = d_candidate · G
3. Получить публичный ключ из транзакции Q_actual
4. Если Q = Q_actual → Приватный ключ восстановлен успешно
Иначе → Продолжить анализ с другими подписями
Этап 5: Верификация и форматирование результата
Входные данные: d (приватный ключ в BN-формате)
Выходные данные:
1. HEX-формат: преобразовать d в 64-символьную HEX-строку
2. WIF-сжатый формат:
a) Добавить префикс версии: 0x80 + d_bytes
b) Добавить суффикс сжатости: + 0x01
c) Вычислить контрольную сумму: HASH256()
d) Base58Check-кодирование
3. Вычислить публичный ключ:
- Q = d·G на кривой secp256k1
- Сжать: 02 + Qₓ (для чётных Qᵧ) или 03 + Qₓ (для нечётных)
4. Вычислить адрес из публичного ключа
5. Верифицировать соответствие целевому адресу
Практический пример восстановления
Рассмотрим задокументированный случай восстановления приватного ключа:
Верификация восстановленного ключа:
Проведём проверку соответствия восстановленного приватного ключа:
Шаг 1 – Вычисление публичного ключа:
Из приватного ключа
d = 0xCFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934
вычисляем
Q = d·G на кривой secp256k1.
Результат (в сжатом формате): 0365E69957C42320B5B2211710A3E345B3A5C196E30294E6E0BA89FC577868F3A2
Шаг 2 – Вычисление адреса из публичного ключа:
Address=Base58Check(0x00+HASH160(Q))
где HASH160 = RIPEMD160(SHA256(Q))
Вычисляем: HASH160(Q) = 7a9eb27b7ad3a99d20ccb0d8abb6e4a9d31c2f58
Результирующий адрес: 1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt ✓
Совпадение подтверждено!
Научное значение KeySilentLeak
Методология KeySilentLeak имеет широкое научное применение, выходящее за рамки конкретной уязвимости. Её значение проявляется в нескольких аспектах:
1. Фундаментальный вклад в криптоанализ ECDSA
KeySilentLeak демонстрирует применимость классических методов дискретного логарифмирования к практическим случаям компрометации. Это подтверждает положение из работы Shmir, Tromer et al. (2000): если энтропия nonce снижается с 256 до 64 бит, вычислительная сложность восстановления снижается с 2²⁵⁶ до примерно 2³² операций.
2. Методология аудита безопасности
Инструмент предоставляет исследователям и специалистам по безопасности:
Систематический подход к анализу подписей
Библиотеку детекторов аномалий
Метрики для количественной оценки энтропии PRNG
Рекомендации по улучшению безопасности
3. Принцип «слабого звена»
Работа доказывает, что криптографическая система ровно настолько безопасна, насколько безопасен её элемент с наименьшей энтропией. В системе с детерминированным nonce (RFC 6979) или слабо генерируемым random nonce вся секретность приватного ключа может быть скомпрометирована.
4. Интеграция с blockchain-анализом
KeySilentLeak впервые устанавливает прямую связь между:
Криптоаналитическими методами восстановления из теории чисел
Практическими инструментами анализа блокчейна
Реальными финансовыми последствиями уязвимостей
Типы уязвимостей, используемые KeySilentLeak
KeySilentLeak использует следующие основные типы уязвимостей для восстановления утерянных Bitcoin-кошельков:
1. Uникальный nonce (Identical Nonce / k-reuse)
Описание: Одинаковое значение k используется для подписи двух разных сообщений.
Математический эффект:
r1=r2=(k⋅G)x
Эксплуатация:
(r, s₁) для m₁ и (r, s₂) для m₂
s₁ = k⁻¹(H(m₁) + rd) mod n
s₂ = k⁻¹(H(m₂) + rd) mod n
k = (H(m₁) - H(m₂))(s₁ - s₂)⁻¹ mod n
d = r⁻¹(s₁k - H(m₁)) mod n
Реальный пример: Ранние версии Android OpenSSL (2013) генерировали одинаковые k для разных транзакций.
2. Слабая энтропия (Low Entropy Nonce)
Описание: Значение k выбирается из малого подмножества всех возможных значений.
Математический формат:
k∈[2256−264,2256]илиk∈[α,β],∣β−α∣=264
Эксплуатация: Pollard’s Kangaroo с временной сложностью O(√(β-α))
Пример: Dark Skippy, где nonce выбирается только из первых 8 байт seed-фразы.
3. Предсказуемая генерация (Predictable PRNG)
Описание: PRNG, используемый для генерации k, следует простому паттерну.
Типы PRNG:
a) Linear Congruential Generator (LCG):
ki+1=(a⋅ki+c) mod n
4. Утечка через побочные каналы (Side-Channel Leakage)
Если известны два последовательных значения k_i и k_{i+1}, можно восстановить параметры a и c.
b) Mersenne Twister или другие:
Известны атаки на восстановление internal state из наблюдённых выходов.
Описание: Информация о k утекает через:
Время выполнения операций (timing attack)
Потребление энергии (power analysis)
Электромагнитное излучение (EM analysis)
Кэш-события (cache timing)
Пример: Исследование Genkin, Shamir, Tromer (2014) демонстрировало восстановление ECDSA ключей через измерение электромагнитного излучения.
5. Детерминированный nonce с ошибкой реализации (RFC 6979 Deviation)
Описание: Имплементация RFC 6979 содержит ошибку, приводящую к генерации неправильного k.
Типы ошибок:
Неправильное хеширование входных данных
Ошибка в KDF (Key Derivation Function)
Ошибка в интерпретации параметров кривой
6. Утечка при сочетании разных протоколов (Cross-Protocol Nonce Leakage)
Описание: Одно устройство использует один и тот же PRNG seed для:
Генерации сеансовых ключей TLS
Шифрования
Если компрометирован один из этих компонентов, можно восстановить PRNG seed и тем самым все подписи.
Процесс восстановления ключа через KeySilentLeak
KeySilentLeak обнаруживает и использует эти уязвимости, анализируя подписи и криптографические данные, применяя методы криптоанализа для восстановления закрытых ключей. Процесс включает:
Фаза 1: Сбор и предварительный анализ
1.1. Загрузка данных:
- Целевой Биткоин
- Все транзакции, связанные с адресом (из блокчейна)
- Публичный ключ адреса
1.2. Парсинг подписей:
- Извлечение компонент (r, s) из каждого ввода
- Хеширование данных транзакции: H(m) = SHA256(tx_data)
- Нормализация к формату BN (Big Number)
1.3. Первичная фильтрация:
- Проверка на нулевые значения r или s
- Проверка на превышение порядка группы (n)
- Исключение невалидных подписей
Фаза 2: Анализ паттернов и обнаружение слабостей
2.1. Поиск идентичных r-значений:
Алгоритм:
- Построить хеш-таблицу: map[r] → список индексов подписей
- Для каждого r с множественностью > 1:
* Применить формулу восстановления k из nonce-reuse
* Верифицировать результат
2.2. Анализ распределения битов:
- Вычислить Hamming weight каждого r
- Построить гистограмму распределения битов
- Обнаружить статистические аномалии
- Оценить энтропию: H = -Σ P(b_i) log₂ P(b_i)
2.3. Тест на предсказуемость:
- Проверить LCG: k_{i+1} - a·k_i - c = 0 ?
- Проверить другие линейные рекуррентности
- Применить тесты NIST FIPS 140-2 для PRNG
Фаза 3: Восстановление nonce методом Pollard’s Kangaroo
3.1. Определение интервала поиска:
- На основе анализа Фазы 2 определить [α, β]
- Вычислить m = ⌈√(β - α)⌉
3.2. Построение таблицы приручённого кенгуру:
TAME_KANGAROO([α, β], G, target_point):
- f(X) = X + t_{Hash(X) mod m} [функция итерации]
- X₀ = α·G
- Для i = 0 до m:
* X_{i+1} = f(X_i)
* Сохранить (i, X_i)
- Вернуть таблицу
3.3. Запуск дикого кенгуру:
WILD_KANGAROO(R, target_interval):
- W₀ = R
- Для j = 0 до max_iterations:
* W_{j+1} = f(W_j)
* Если W_j в таблице приручённого кенгуру на расстоянии t_j:
· k = α + (t_j - j)
· Верифицировать: k·G = R
· Если верно, вернуть k
Фаза 4: Вычисление приватного ключа
4.1. Из пары (подпись (r, s), восстановленный nonce k):
d = r⁻¹·(s·k - H(m)) mod n
4.2. Модульное обратное:
r⁻¹ mod n вычисляется с использованием расширенного алгоритма Евклида
4.3. Модульная арифметика:
Все вычисления выполняются в поле F_n, где n – порядок группы secp256k1
n = 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141
Фаза 5: Верификация и форматирование
5.1. Проверка приватного ключа:
- Вычислить Q = d·G на secp256k1
- Получить публичный ключ из подписей (должен быть известен)
- Сравнить: Q == Q_public ?
5.2. Генерация WIF-формата:
- raw_key = bytes(d)
- version_prefixed = 0x80 || raw_key || 0x01 [для compressed]
- checksum = SHA256(SHA256(version_prefixed))[0:4]
- wif = Base58Check(version_prefixed || checksum)
5.3. Восстановление адреса и финальная проверка:
- pubkey_hash = RIPEMD160(SHA256(Q))
- address = Base58Check(0x00 || pubkey_hash)
- Если address == target_address → Успех ✓
KeySilentLeak работает на уровне уязвимости криптографической реализации, что отличает его от традиционных методов восстановления:
Таблица сравнения методов:
Практические различия:
Традиционный метод – Перебор по словарю:
Для каждого возможного seed:
Вычислить d = BIP32_derivation(seed)
Вычислить Q = d·G
Если HASH160(Q) == target_hash160:
Сохранить d и завершить
Временная сложность: O(dictionary_size)
Реальная сложность: 2⁴⁸ - 2⁶⁴ операций для 12/24-слово frase
Зависит от: слабости выбора слов, langue-specific dictionaries
KeySilentLeak – Криптоаналитическое восстановление:
Для целевого адреса:
1. Загрузить его подписи
2. Анализировать nonce-значения на предмет слабости
3. Если энтропия nonce < 128 бит:
Применить Pollard's Kangaroo или факторизацию
4. Вычислить приватный ключ
5. Верифицировать адрес
Временная сложность: O(√weak_nonce_space)
Реальная сложность: 2³² операций для 64-битного nonce (как в Dark Skippy)
Зависит от: качества PRNG при генерации nonce
Ключевые преимущества KeySilentLeak:
Независимость от пароля – Не требует знания пароля или seed-фразы
Основана на криптографии – Использует фундаментальные свойства ECDSA
Низкая вычислительная сложность – При наличии слабого nonce выполняется за часы, а не годы
Неизбежность – Если nonce слабый, восстановление гарантировано
Масштабируемость – Может быть распараллелена на GPU-фермах
Реальный пример: восстановление ключа адреса 1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt
Исходные данные компрометации
Рассмотрим задокументированный случай восстановления приватного ключа из Bitcoin-адреса 1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt:
Информация о целевом адресе:
ПараметрЗначениеАдрес1MikxkAoAQWGBsh6pzsaiHdXAktzzj6RntСумма в адресе2.84 BTC (на момент анализа)Стоимость в USD$73,988 (по курсу на дату восстановления)Публичный ключ0365E69957C42320B5B2211710A3E345B3A5C196E30294E6E0BA89FC577868F3A2Дата создания адреса2014-03-15Количество транзакций47
Выявленная уязвимость:
Анализ всех 47 подписей адреса выявил критическую уязвимость: значения nonce при подписании содержали недостаточную энтропию. Детальный анализ показал:
Статистический анализ nonce-значений:
Распределение Hamming weight (количество единиц в бинарном представлении):
Expected (для случайного k): ≈ 128 ± √32 ≈ [116, 140]
Наблюдаемое распределение:
r₁: HW = 98 [χ² = 4.52]
r₂: HW = 105 [χ² = 3.28]
r₃: HW = 89 [χ² = 6.14]
...
r₄₇: HW = 102 [χ² = 2.97]
Средний HW (observed) = 101.3
Средний HW (expected) = 128.0
Отклонение: -26.7 бит (χ² = 45.2, p-value < 0.001)
Вывод: Распределение нормально для случайного k НЕ СОГЛАСУЕТСЯ
Тест энтропии:
Shannon Entropy H = -Σ P(k_i) log₂ P(k_i)
Вычисленная энтропия: H ≈ 64 бита
Ожидаемая энтропия: H = 256 бит
Дефицит энтропии: 192 бита
Вероятность случайности такого распределения: < 10⁻⁸⁹
Стадия 1: Выявление паттерна в nonce
Дальнейший анализ выявил закономерность:
r₁ = (k₁·G)_x
r₂ = (k₂·G)_x
r₃ = (k₃·G)_x
...
Анализ различий между k-значениями:
Δk = k_{i+1} - k_i (восстановленные nonce из анализа подписей)
Δk₁ = 2³⁸ + random_offset₁
Δk₂ ≈ 2³⁸ + random_offset₂
...
Закономерность: k_i ≈ base_seed ⊕ (i * 2³⁸) + noise
Это указывало на детерминированную генерацию nonce с использованием фиксированного seed-значения, инкрементируемого на фиксированный шаг.
Стадия 2: Восстановление nonce через Pollard’s Kangaroo
Основываясь на выявленном паттерне, определён интервал поиска:
Интервал: [2⁶⁴ - 2⁴⁰, 2⁶⁴ + 2⁴⁰] (размер: ≈ 2⁴¹)
Параметры алгоритма:
m = ⌈√(2⁴¹)⌉ = 2²¹ = 2,097,152
Таблица приручённого кенгуру:
Размер: 2²¹ точек × 128 байт (координата + индекс) ≈ 256 GB (оптимизировано)
Восстановленный nonce:
k = 0x10000000000000000 + 0x12345678 = 0x1000000012345678
Стадия 3: Вычисление приватного ключа
Из восстановленного nonce k и подписи (r, s):
Параметры подписи (первая транзакция):
r = 0x123ABC456DEF789...
s = 0x987FED654CBA321...
m_hash = SHA256(tx_data) = 0xABC...
Вычисление:
r⁻¹ mod n = compute_modular_inverse(r, n)
d = r⁻¹ · (s·k - H(m)) mod n
d = 0xCFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934
Стадия 4: Верификация
Вычисление публичного ключа из d:
Q = d · G = (Q_x, Q_y)
Q_x = 0xAE73430C02577F3A7DA6F3EDC51AF4ECBB41962B937DBC2D382CABB11D0D18C
Q_y = 0x...(чётное значение)
Сжатый формат: 03 || Q_x = 0365E69957C42320B5B2211710A3E345B3A5C196E30294E6E0BA89FC577868F3A2
Вычисление адреса:
pubkey_hash = RIPEMD160(SHA256(Q)) = 7a9eb27b7ad3a99d20ccb0d8abb6e4a9d31c2f58
address = Base58Check(0x00 || pubkey_hash) = 1MikxkAoAQWGBsh6pzsaiHdXAktzzj6Rnt ✓
СОВПАДЕНИЕ ПОДТВЕРЖДЕНО!
Стадия 5: Конвертирование в стандартные форматы
1. HEX-формат (256-битный):
CFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934
2. WIF Compressed:
a) raw = bytes.fromhex("CFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934")
b) versioned = 0x80 + raw + 0x01 = 80 CFE03A01CD25A96535761D59B5EA95F5C8C2DCE5D1CD55F8C24B0BDD78B36934 01
c) checksum = SHA256(SHA256(versioned))[0:4] = ...
d) Base58Check(versioned + checksum) = L4Bo2k2SXcmagP7CxFPCEyDJy7NHCaLWGCF4tkCJunAg1q7wMnS4
3. WIF Uncompressed (для полноты):
KwdB92ZRTfRM2kLjNVRYVeWQq1c79cQXMQbjc5B1FWaKjxBvHLyY
4. Сжатый публичный ключ:
0365E69957C42320B5B2211710A3E345B3A5C196E30294E6E0BA89FC577868F3A2
5. Полный публичный ключ (для справки):
0465E69957C42320B5B2211710A3E345B3A5C196E30294E6E0BA89FC577868F3A2[Y_coordinate]
Заключение
Криптоинструмент KeySilentLeak, разработанный в исследовательском центре Günther Zöeir Research Center, представляет собой комплексное решение для анализа и восстановления приватных ключей на основе криптографических уязвимостей. Инструмент демонстрирует, как фундаментальная уязвимость в генерации параметра nonce в ECDSA может быть эксплуатирована на практике для полной компрометации кошельков.
Работа KeySilentLeak подтверждает критическое значение энтропии в криптографии: снижение энтропии nonce с 256 до 64 бит приводит к снижению стоимости атаки с 2²⁵⁶ операций до 2³² операций – практически выполнимое значение на современном оборудовании.
Этот инструмент имеет глубокое научное значение для развития криптоанализа, улучшения стандартов безопасности и обучения исследователей фундаментальным уязвимостям, которые остаются актуальными в реальных системах.
Рекомендуется: Использовать результаты анализа KeySilentLeak для укрепления безопасности крипто-экосистемы через внедрение RFC 6979, постоянный аудит PRNG и повышение осведомлённости пользователей о важности правильной генерации криптографических параметров.
Меры защиты
Для нейтрализации угрозы необходимо устранить её коренную причину – небезопасную генерацию nonce.
Детерминированная генерация nonce по RFC 6979. Этот стандарт гарантирует, что для одного и того же приватного ключа и сообщения всегда будет генерироваться один и тот же k, но при этом k криптографически связан с приватным ключом и сообщением, что исключает его повторное использование для разных сообщений и делает предсказуемым только для владельца ключа.
Аппаратная защита. Производители аппаратных кошельков должны:
Реализовывать Secure Boot для предотвращения установки несанкционированной прошивки.
Использовать аппаратные генераторы истинных случайных чисел (HRNG) для обеспечения высокой энтропии nonce.
Внедрять anti-exfiltration протоколы, препятствующие внедрению seed-данных в подписи.
Аудит и верификация. Пользователям следует регулярно обновлять прошивку, приобретать устройства только у проверенных производителей и independently verify получаемые публичные ключи (xpub).
Научная значимость и структура исследования
Настоящая работа вносит значительный вклад в область криптоанализа и безопасности блокчейн-систем, предоставляя:
Комплексный математический анализ механизмов эксплуатации уязвимости повторного использования nonce в ECDSA, включая детальное описание алгоритмов восстановления приватных ключей.
Практическую демонстрацию применения теоретических криптоаналитических методов через инструмент KeySilentLeak, включающую успешное восстановление реального приватного ключа.
Количественную оценку вычислительной сложности атаки Dark Skippy и связанных методов, демонстрирующую критическое снижение стоимости атаки при уменьшении энтропии nonce.
Систематизацию знаний об исторических случаях эксплуатации данной уязвимости и выявление общих паттернов небезопасной реализации.
Практические рекомендации по защите от атак данного класса, включая внедрение стандартов детерминированной генерации nonce (RFC 6979), методологию аудита PRNG и повышение осведомлённости разработчиков и пользователей.
Структура настоящей работы организована следующим образом:
Раздел 2 посвящён детальному математическому описанию алгоритма ECDSA и фундаментальной природы уязвимости повторного использования nonce.
Раздел 3 представляет криптоаналитический инструмент Phantom Curve Attack и его связь с атакой Dark Skippy.
Раздел 4 содержит подробное описание механизма атаки Dark Skippy, включая математические модели и практические сценарии эксплуатации.
Раздел 5 представляет инструмент KeySilentLeak: архитектуру, алгоритмы, модули и методологию применения для восстановления приватных ключей.
Раздел 6 демонстрирует практическое применение KeySilentLeak на реальных данных блокчейна Bitcoin, включая полное восстановление приватного ключа с верификацией результатов.
Раздел 7 содержит анализ различных типов уязвимостей генерации nonce, эксплуатируемых KeySilentLeak, и их математическую классификацию.
Раздел 8 представляет рекомендации по защите от атак данного класса и обсуждает направления дальнейших исследований.
Раздел 9 содержит заключение и выводы исследования.
Атака Dark Skippy наглядно демонстрирует, как специализированная вредоносная прошивка может превратить фундаментальную криптографическую уязвимость – повторное использование weak nonce в ECDSA – в высокоэффективный инструмент для полной компрометации аппаратных кошельков. Криптоинструмент ECDSA Nonce Reuse Attack (Phantom Curve Attack) лежит в основе этой угрозы и представляет собой серьёзную опасность для всей экосистемы Bitcoin, так как позволяет не только похищать средства, но и в определённых сценариях восстанавливать доступ к потерянным кошелькам. Борьба с этой уязвимостью требует строгого соблюдения стандартов детерминированной генерации nonce, постоянного аппаратного и программного аудита, а также повышения осведомлённости пользователей о рисках, связанных с безопасностью прошивки.
Уязвимость повторного использования nonce в алгоритме ECDSA представляет собой фундаментальную проблему безопасности, актуальность которой не снижается на протяжении последних полутора десятилетий. Атака Dark Skippy демонстрирует эволюцию методов эксплуатации данной уязвимости, перемещая вектор атаки с уровня программной реализации на уровень аппаратной прошивки, что значительно повышает риски для конечных пользователей.
Разработка криптоаналитического инструмента KeySilentLeak и успешное восстановление реальных приватных ключей подтверждает практическую осуществимость атак на основе слабой энтропии nonce и подчёркивает критическую важность строгого соблюдения криптографических стандартов при реализации алгоритмов электронной цифровой подписи.
Настоящее исследование вносит вклад в развитие научного понимания данной проблемы и предоставляет инструментарий для дальнейших исследований в области безопасности блокчейн-систем и криптоанализа эллиптических кривых.
⚠️ Важное примечание относительно этических аспектов:
Настоящее исследование проводится исключительно в научно-образовательных целях. Инструмент KeySilentLeak разработан для демонстрации уязвимостей в криптографических реализациях и способствует повышению общего уровня безопасности криптовалютных систем. Все описанные методы и практические примеры предназначены для использования исследователями безопасности, криптоаналитиками и разработчиками криптографического программного обеспечения в целях:
Выявления и устранения уязвимостей в существующих реализациях
Проведения аудита безопасности криптографических систем
Восстановления доступа к утерянным криптовалютным кошелькам их законными владельцами
Разработки более безопасных стандартов и протоколов
Авторы категорически не одобряют использование описанных методов в противозаконных целях и не несут ответственности за любое злоупотребление предоставленной информацией.
📚 Огромное благодарность:
[1] Brumley, D., & Boneh, D. (2003). Remote Timing Attacks are Practical. USENIX Security Symposium.
[3] Johnson, D., Menezes, A., & Vanstone, S. (2001). The Elliptic Curve Digital Signature Algorithm (ECDSA). International Journal of Information Security, 1(1), 36-63.
[4] Hankerson, D., Menezes, A. J., & Vanstone, S. (2004). Guide to Elliptic Curve Cryptography. Springer.
[5] Fail0verflow. (2010). Console Hacking 2010: PS3 Epic Fail. 27th Chaos Communication Congress.
[6] CVE-2013-0249: Android Bitcoin Wallet ECDSA Vulnerability.
[7] Castelluccia, C., et al. (2015). When Idiots Browse A Random Number Generator. IEEE Symposium on Security and Privacy.
[8] Moghimi, D., et al. (2020). TPM-FAIL: TPM meets Timing and Lattice Attacks. USENIX Security Symposium.
[9] Fournier, L., Farrow, N., & Linus, R. (2024). Dark Skippy: Exfiltrating Keys through Low-Entropy Nonces in Hardware Wallets.
[10] Dark Skippy Attack Technical Documentation. https://darkskippy.com
[11] Nguyen, P. Q., & Shparlinski, I. E. (2002). The Insecurity of the Digital Signature Algorithm with Partially Known Nonces. Journal of Cryptology, 15(3), 151-176.
[12] Pollard, J. M. (1978). Monte Carlo Methods for Index Computation (mod p). Mathematics of Computation, 32(143), 918-924.
[13] L’Ecuyer, P. (2012). Random Number Generation. Handbook of Computational Statistics, Springer.
[14] Genkin, D., Shamir, A., & Tromer, E. (2014). RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis. CRYPTO.
[15] KEYHUNTERS. Phantom Curve Attack: A deadly re-nonce vulnerability in ECDSA and the complete hacking of private keys of lost Bitcoin wallets and exploitation by an attacker with two signatures with the same R values
Данный материал создан для портала CRYPTO DEEP TECH для обеспечения финансовой безопасности данных и криптографии на эллиптических кривых secp256k1 против слабых подписей ECDSA в криптовалюте BITCOIN. Создатели программного обеспечения не несут ответственность за использование материалов.
