SlowMist: Vulnerabilidad de Seguridad Crítica Encontrada en la Biblioteca de Criptografía Elíptica

Foresight News informa que SlowMist Technology ha declarado que se ha descubierto una grave vulnerabilidad de seguridad (GHSA-vjh7-7g9h-fjfh) en la biblioteca criptográfica elíptica, que se utiliza ampliamente en el ecosistema de JavaScript. Los atacantes pueden extraer claves privadas con una sola firma al crear entradas específicas, obteniendo así el control total sobre los activos digitales o las credenciales de identidad de la víctima. La causa raíz de esta vulnerabilidad radica en los defectos de manejo de entradas no estándar de la biblioteca elíptica, lo que lleva a la posibilidad de repetición del número aleatorio k en las firmas ECDSA. Dado que la seguridad del algoritmo ECDSA depende en gran medida de la unicidad de k, una vez que k se repite, la clave privada puede derivarse directamente, resultando en riesgos de seguridad irreversibles.