Dark Skippy ist eine Angriffsmethode zum Stehlen der Seed-Phrase von Hardware-Wallets über bösartige Firmware.
Sicherheitsforscher haben eine neue Methode namens Dark Skippy aufgezeigt. Damit lässt sich der private BTC-Schlüssel sogar aus Hardware-Wallets heraus offenzulegen. Die Angriffe mit manipulierten Signaturen basieren allerdings auf einer kompromittierten Hardware-Wallet. Den Autoren zufolge hat man die Attacke bisher noch nicht in der Praxis nachweisen können.
An dem Projekt beteiligt waren Lloyd Fournier und Nick Farrow, Mitbegründer der geplanten Hardware-Wallet Frostsnap, sowie Robin Linus, Entwickler der Bitcoin-Protokolle ZeroSync und BitVM. In ihrem Bericht weisen die Sicherheitsexperten darauf hin, dass für Dark Skippy ein User über eine bösartige Firmware kompromittiert werden muss. Der Angriff funktioniert auch dann, wenn der Nutzer ein separates Gerät zur Erzeugung von Seed-Wörtern verwendet.
Dark Skippy-Angriff gefährdet Sicherheit von Hardware-Wallets
Die Schwachstelle betrifft potenziell alle Hardware-Wallet-Modelle. Dark Skippy funktioniert allerdings nur, wenn der Angreifer das Opfer dazu bringt, bösartige Firmware herunterzuladen. Bei einer früheren Version der Methode musste das Opfer noch „Dutzende“ von Transaktionen in die Blockchain einspeisen. Dark Skippy funktioniert hingegen auch, wenn der Betroffene nur ein paar Transaktionen in die Blockchain einbringt. Die Sicherheitsforscher informieren:
„Bisher ging man davon aus, dass es Dutzende von Signaturen/Transaktionen braucht, damit ein infiziertes Gerät einen geheimen Seed an einen Angreifer weitergeben kann, indem es ihn heimlich in Transaktionssignaturen einbettet. Wir haben gezeigt, dass dies mit nur zwei Signaturen möglich ist. Eine einzige Verwendung einer bösartigen Hardware-Wallet reicht aus, um alles zu verlieren.“
Der Mechanismus hinter dem Exploit
Im allgemeinen Ablauf speichert die Wallet den privaten Schlüssel (Private Key) eines Benutzers. Sobald der User eine Transaktion einleitet, erstellt die Wallet-Software eine digitale Signatur, indem sie die Transaktion mit dem privaten Schlüssel verarbeitet. Dazu generiert die Wallet eine Zufallszahl, auch „Nonce“ genannt, die völlig zufällig sein und nur einmal Verwendung finden sollte. Eine böswillige Wallet kann diese Nonces so manipulieren, dass die Transaktionen beliebige Daten beinhalten, z. B. Teile des Seeds.
Dem Bericht zufolge wird die Firmware einer Hardware-Wallet bei Dark Skippy so programmiert, dass Teile der Seed Phrase des Benutzers in „low entropy secret nonces“ eingebettet sind, die dann zur Signatur von Transaktionen Verwendung finden. Die daraus resultierenden Signaturen werden in die Blockchain übertragen, wenn Transaktionen bestätigt werden. Der Angreifer kann dann die Blockchain scannen, um diese Signaturen zu finden und aufzuzeichnen. Nur zwei bzw. vier Signaturen reichen aus, um eine ganze Seed Phrase mit 12 bzw. 24 Wörtern zu leaken.
Die Methode lässt sich wie folgt zusammenfassen:
- Der Hacker installiert schädliche Firmware auf der Hardware-Wallet des Opfers.
- Wenn der Benutzer eine Transaktion durchführt, verbirgt die Firmware den ersten Teil der Seed-Phrase in der Transaktionssignatur.
- Mit nur zwei Transaktionen kann der Angreifer die gesamte Seed-Phrase rekonstruieren.
- Der Hacker kann so die vollständige Kontrolle über das Wallet erlangen und die Gelder stehlen.
Frühere Versionen der Sicherheitslücke wurden bereits in der Vergangenheit dokumentiert, so die Forscher. Diese älteren Versionen basierten jedoch auf dem „Nonce Grinding“, einem viel langsameren Prozess, der viel mehr Transaktionen in die Blockchain einspeisen musste. Dennoch wollen die Forscher Dark Skippy nicht als neue Sicherheitslücke bezeichnen. Vielmehr behaupten sie, dass es sich um eine neue Art der Ausnutzung einer bestehenden Sicherheitslücke handelt.
Strategien zur Schadensminderung
Um die Bedrohung abzuschwächen, schlagen die Sicherheitsforscher vor, dass die Hersteller von Hardware-Wallets besonders darauf achten sollten, dass bösartige Firmware nicht in die Geräte der Nutzer gelangt. Dies erreicht man durch Funktionen wie „sicheres Booten und gesperrte JTAG/SWD-Schnittstellen […] reproduzierbare und vom Hersteller signierte Firmware-Builds […] und verschiedene andere Sicherheitsfunktionen“.
Für Hardware-Wallets bietet Anti-Klepto dem Nutzer zusätzliche Sicherheit. Bisher sind die einzigen Hardware-Wallets, die das Anti-Klepto-Protokoll implementiert haben, BitBox02 und Blockstream Jade.
Um sich gegen diese Art von Angriffen zu verteidigen, sollten Benutzer von Hardware-Wallets:
- nur offizielle und aktualisierte Firmware verwenden,
- Hardware-Wallets nur von zuverlässigen Anbietern kaufen,
- für mehr Sicherheit die Verwendung von Multi-Sig-Wallets erwägen