慢雾：elliptic 加密库存在严重安全漏洞

Foresight News 消息，慢雾科技发文表示近期，JavaScript 生态中广泛使用的 elliptic 加密库被发现存在严重安全漏洞（GHSA-vjh7-7g9h-fjfh）。攻击者可以通过构造特定输入，在仅签名一次的情况下提取私钥，从而完全掌控受害者的数字资产或身份凭证。该漏洞的根本原因在于 elliptic 库对非标准输入的处理缺陷，导致 ECDSA 签名中的随机数 k 可能重复。由于 ECDSA 算法的安全性极度依赖 k 的唯一性，一旦 k 重复，私钥便可被直接推导出来，造成不可逆的安全风险。