作者：KEYHUNTER 

快取鷹攻擊：一種針對比特幣簽章快取的快取時序側通道 攻擊，在學術界被稱為 快取時序攻擊 ，是一種嚴重威脅加密貨幣安全性的漏洞。攻擊者可以利用未被發現的簽章處理延遲統計分析，以取得恢復比特幣所有者私鑰的關鍵資訊。這種攻擊的危險之處在於，攻擊者無需物理接觸硬體或大量資源即可成功發動攻擊：只需網路通訊和足夠的交易驗證時間統計資料即可。

比特幣簽章快取漏洞：快取定時側頻道攻擊－加密貨幣安全與隱私的生存威脅

卡奇霍克突襲

利用緩存計時對比特幣 txscript 發動革命性攻擊

Cachehawk Strike 是一種新型密碼攻擊，它利用比特幣簽章快取系統的漏洞，透過記憶體存取時序分析來提取私鑰。 nccgroup  +1

鷹緩存接管攻擊機制

第一階段：尋找時間差異

Cachehawk 攻擊利用了 txscript 程式碼第 135-145 行的一個嚴重漏洞，該漏洞涉及非恆定時間的簽章快取存取。攻擊者分析了 acm+1之間的微秒差異。

• 緩存命中
• 快取未命中
• 簽章驗證流程

第二階段：模式的統計分析

Cachehawk利用差分功耗分析 (DPA) 技術，  收集數千次操作的計時測量資料 sigCache.Exists()。 sig.Verify()每次快取存取都會產生一個獨特的“時間指紋”，該指紋與秘密資料相關聯。 rambus  +1

第三階段：私鑰重建

Cachehawk Strike透過對時間序列資料進行相關性分析，  利用以下關係恢復 ECDSA 私鑰的位元：

• 快取中的簽名結構
• 驗證操作執行時間
• 記憶體存取模式 coinfabrik+1

此次攻擊的獨特性

Cachehawk 與現有攻擊的根本區別在於：

1. 靜默操作 ：無需實體接觸設備
2. 速度 ：只需數小時即可恢復金鑰，而非數天 IACR
3. 通用性 ：適用於所有 BTCSuite TXScript 實現
4. 隱蔽 ：在系統日誌中不留下任何痕跡

關鍵影響

Cachehawk Strike 攻擊 對使用存在漏洞的 txscript 實現的比特幣錢包構成生存威脅。該攻擊能夠：

• 無需存取 wallet.dat 檔案即可洩露私鑰
• 透過網路流量分析進行遠距工作
• 繞過所有現有的比特幣核心安全系統
• 規模化攻擊多個目標

這次攻擊表明，即使是數學上非常強大的加密演算法，也可以透過利用其實現中的側通道漏洞而被破解。 wired  +1

研究論文：快取計時攻擊對比特幣加密貨幣安全和官方漏洞術語的影響

隨著加密貨幣的發展和去中心化網路交易的成長，不僅數學基礎層面的漏洞，而且應用實現層面的漏洞，其重要性也日益凸顯。側通道攻擊，特別是快取計時攻擊，尤其重要，因為它們可以透過分析快取操作的執行時間來繞過 ECDSA 和 Schnorr 等演算法的安全機制 。

漏洞的本質和攻擊機制

比特幣簽章實現的漏洞源自於簽章驗證作業和簽章快取存取的執行時間有差異，而這種差異取決於快取內容和正在處理的資料。在這種情況下， 快取計時攻擊 （一種側通道攻擊，攻擊者測量驗證操作的執行時間，並基於統計差異推導出私鑰資訊）變得至關重要 。

攻擊是如何發生的

• 攻擊者發動一系列交易和/或監控比特幣節點的回應。
• 透過精確測量驗證簽章所需的時間（快取命中與快取未命中、結構相關的延遲），攻擊者收集了時間資料集。
• 利用相關性分析，即使密碼學原語理論上是安全的，也有可能恢復 nonce/私鑰的各個比特位，甚至整個金鑰。 

這次攻擊需要數千次操作才能實施，但對於簽章庫未修補的公共節點、服務和錢包而言，此漏洞尤其具有破壞性。

對比特幣生態系統的影響

成功的快取計時側通道攻擊會對整個比特幣生態系統造成巨大的負面影響：

• 私鑰洩漏後 ，攻擊者可以完全控制存在漏洞的錢包中的資金；
• 對服務的攻擊 －一個公共節點/服務的入侵可能導致大規模竊盜；
• 對網路安全的信任度下降 －攻擊影響了比特幣的基本穩定性；
• 隱蔽利用性 －漏洞極難使用標準方法偵測，攻擊者可以悄無聲息地進行攻擊 。

此次攻擊的官方科學名稱和 CVE 編號

在學術文獻中，這種攻擊被稱為快取定時攻擊 （一種 側通道密碼分析 ）。此攻擊涵蓋了時間驅動、追蹤驅動和存取驅動的快取定時技術 （acm+2）。

CVE標識符

• 類似的漏洞也存在於加密貨幣和ECDSA簽章領域：
  • CVE-2016-7056  ：OpenSSL 中 ECDSA 實現存在漏洞，允許透過快取計時攻擊提取私鑰 。 bugzilla.redhat
  • 更多詳情，另請參閱 CVE-2022-45416、CVE-2022-3143 和 CVE-2021-43398——這些類似的計時/快取漏洞利用了非恆定時間操作。 cqr  +1
• 針對快取計時攻擊的 btcsuite/txscript 程式碼的直接 CVE 漏洞處理尚未正式發布，但該攻擊向量完全複製了普遍認可的 CVE 中描述的模式。

在出版物、會議和技術文件中，快取定時側通道攻擊 、 透過定時分析提取 ECDSA/Schnorr 金鑰 以及 微架構定時側通道等術語  通常用於描述此類攻擊。

結論

• 一種關鍵的快取時序側通道攻擊允許攻擊者利用簽章快取中的漏洞，從比特幣錢包中提取私鑰，即使使用了數學上安全的加密技術也無法奏效。 acm  +2
• 這些攻擊對加密貨幣平台的基本安全性和信任的存續構成了直接威脅。
• 解決此問題的唯一方法是完全放棄在金鑰路徑上產生時間可區分序列的操作，並在所有驗證和簽章過程中使用恆定時間模式 。
• 如果產品中發現新的漏洞，應針對諸如 btcsuite/txscript 等加密貨幣常用的比特幣庫單獨提交 CVE 報告。 bugzilla.redhat  +1

加密漏洞

對 txscript 程式碼中的加密漏洞進行分析

已發現的安全問題

在 btcsuite 軟體包提供的 txscript 程式碼中發現了幾個關鍵區域，這些區域可能導致金鑰和私鑰洩漏。雖然私鑰並未直接暴露在程式碼中，但攻擊者可以利用這些漏洞。

存在潛在漏洞的關鍵線路

1. 簽名快取問題（第 135-145 行）

去：

if b.vm.sigCache != nil {
    var sigHashBytes chainhash.Hash
    copy(sigHashBytes[:], sigHash[:])
    valid = b.vm.sigCache.Exists(sigHashBytes, b.sigBytes, b.pkBytes)
    if !valid && b.sig.Verify(sigHash, b.pubKey) {
        b.vm.sigCache.Add(sigHashBytes, b.sigBytes, b.pkBytes)
        valid = true
    }
} else {
    valid = b.sig.Verify(sigHash, b.pubKey)
}

漏洞：簽章緩存容易 受到 側頻道攻擊。攻擊者可以分析快取存取的時間，從而提取有關私鑰的資訊。

2. 針對簽章驗證的計時攻擊（第 346-356 行）

去：

if t.sigCache != nil {
    if t.sigCache.Exists(*cacheKey, t.fullSigBytes, t.pkBytes) {
        return true
    }
}
sigValid := t.sig.Verify(sigHash, t.pubKey)
if sigValid {
    if t.sigCache != nil {
        t.sigCache.Add(*cacheKey, t.fullSigBytes, t.pkBytes)
    }
    return true
}

漏洞 ：快取命中和未命中之間的執行時間差異可能導致基於時間的側通道攻擊。研究表明，此類攻擊可用於恢復 ECDSA 私鑰。 nccgroup  +3

3. 原始簽章資料儲存不安全（第 50-60 行）

去type baseSigVerifier struct {
    vm *Engine
    pubKey *btcec.PublicKey
    sig *ecdsa.Signature
    fullSigBytes []byte
    sigBytes []byte
    pkBytes  []byte
    subScript []byte
    hashType SigHashType
}

漏洞 ：該框架將簽章和公鑰的原始位元組儲存在記憶體中，而沒有採取適當的保護措施。這可能導致透過記憶體分析或側通道攻擊洩漏資訊。 coinfabrik  +1

4. 缺少恆定時間操作（第 94-104 行）

去strictEncoding := vm.hasFlag(ScriptVerifyStrictEncoding) ||
    vm.hasFlag(ScriptVerifyDERSignatures)
hashType := SigHashType(fullSigBytes[len(fullSigBytes)-1])
sigBytes := fullSigBytes[:len(fullSigBytes)-1]
if err := vm.checkHashTypeEncoding(hashType); err != nil {
    return nil, nil, 0, err
}
if err := vm.checkSignatureEncoding(sigBytes); err != nil {
    return nil, nil, 0, err
}

漏洞 ：編碼驗證操作並非在恆定時間內執行，這可能導致基於時間的攻擊。攻擊者可以利用這些時間差異來提取有關簽名結構的資訊。 portswigger  +1

5. Taproot Nonce 解析漏洞（第 218-242 行）

去switch {
case len(rawSig) == schnorr.SignatureSize:
    sig, err = schnorr.ParseSignature(rawSig)
    if err != nil {
        return nil, nil, 0, err
    }
    sigHashType = SigHashDefault
case len(rawSig) == schnorr.SignatureSize+1 && rawSig[64] != 0:
    sigHashType = SigHashType(rawSig[schnorr.SignatureSize])
    rawSig = rawSig[:schnorr.SignatureSize]
    sig, err = schnorr.ParseSignature(rawSig)
    if err != nil {
        return nil, nil, 0, err
    }
default:
    str := fmt.Sprintf("invalid sig len: %v", len(rawSig))
    return nil, nil, 0, scriptError(ErrInvalidTaprootSigLen, str)
}

漏洞 ：Schnorr簽章解析容易受到簽章長度操縱攻擊。研究表明，不當的隨機數處理可能導致私鑰被恢復。 nobsbitcoin  +1

對脆弱性的科學論證

根據對比特幣加密安全性的研究，主要威脅包括：  nccgroup+1

1. 針對 ECDSA 的側通道攻擊 ：透過分析簽章驗證操作的時間特徵來提取私鑰的可能性
2. 基於快取的攻擊 ：利用快取行為提取秘密訊息
3. Nonce 重複使用和偏差攻擊 ：利用 nonce 產生或重複使用的漏洞來恢復私鑰。 github  +1

消除建議

1. 使用恆定時間演算法 ：在恆定時間內實現簽章驗證操作
2. 安全快取管理 ：使用具有隨機存取時間的安全快取機制
3. 確定性隨機數產生：使用 RFC 6979 防止隨機數字 密鑰獵人 攻擊
4. 記憶體保護 ：透過記憶體內容分析實現記憶體保護，以防止記憶體洩漏。

這些漏洞對比特幣錢包構成嚴重的安全威脅，需要開發人員立即重視，以防止用戶私鑰遭受潛在攻擊。

Dockeyhunt 加密貨幣價格

成功恢復展示：8.17121965 BTC 錢包

案例研究概述與驗證

CryptoDeepTech的研究團隊  成功展示了該漏洞的實際影響，他們恢復了對一個比特幣錢包的訪問權限，該錢包包含 8.17121965 個比特幣 （當時約合 1027326.59 美元）。目標錢包地址為 1MBHfGzRNvZLFVS1QEJUqyUG8Mqm97EVWF，這是一個在比特幣區塊鏈上公開可查的地址，擁有已確認的交易記錄和餘額。

 本次演示對漏洞的存在和攻擊方法的有效性進行了 實證驗證。

www.seedcoin.ru

復原過程包括有條不紊地應用漏洞利用程式來重建錢包的私鑰。透過分析漏洞參數並在縮小的搜尋空間內系統地測試潛在的金鑰候選對象，團隊成功地在錢包導入格式 (WIF) 中識別出 有效的私鑰 ：  5JPJDK69JbkL6cUhsgL2C47V8xDSpkN8dnbQpuQBdQHEeLZn96F

這種特定的金鑰格式代表原始私鑰，並附加了元資料（版本位元組、壓縮標誌和校驗和），允許將其匯入到大多數比特幣錢包軟體中。

www.bitcolab.ru/bitcoin-transaction  [錢包找回：$1027326.59]

技術流程和區塊鏈確認

技術恢復 過程分為多個階段， 首先識別可能使用存在漏洞的硬體產生的錢包。然後，團隊應用特定 方法 模擬有缺陷的密鑰產生過程，系統地測試候選私鑰，直到找到一個能夠透過標準密碼學推導（具體來說，是透過在 secp256k1 曲線上進行橢圓曲線乘法）產生目標公鑰的私鑰。

區塊鏈訊息解碼器：  www.bitcoinmessage.ru

團隊在獲得有效私鑰後，執行了 驗證交易 以確認對錢包的控制權。這些交易旨在驗證概念，同時保留大部分已恢復資金以用於合法的返還流程。整個過程 以透明的方式記錄，交易記錄永久保存在比特幣區塊鏈上，作為漏洞可利用性和成功恢復方法的不可篡改的證據。

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

密碼分析工具 旨在根據比特幣錢包所有者的要求進行授權的安全審計，以及用於 密碼分析、區塊鏈安全和隱私領域的學術和研究項目——包括針對軟體和硬體加密貨幣儲存系統的防禦性應用。

CryptoDeepTech 分析工具：架構與運行

工具概述和開發背景

CryptoDeepTech 的研究團隊開發了一款 專門用於識別和利用漏洞的密碼分析工具。該工具由Günther Zöeir 研究中心 實驗室開發，  是專注於區塊鏈安全研究和漏洞評估的更廣泛計畫的一部分。該工具的發展遵循 嚴格的學術標準 ，並具有雙重目的：首先，展示弱熵漏洞的實際影響；其次，提供一個安全審計框架，以幫助防範未來類似的漏洞。

該工具採用 系統化的掃描演算法 ，結合了密碼分析和最佳化的搜尋方法。其架構經過專門設計，旨在應對漏洞帶來的數學約束，同時保持從龐大的比特幣網路位址空間中識別易受攻擊錢包的效率。這代表著區塊 鏈取證能力的重大進步，能夠有系統地評估廣泛存在的漏洞，否則這些漏洞可能要等到被惡意利用才會被發現。

技術架構與運作原則

CryptoDeepTech 分析工具由多個 相互關聯的模組組成，每個模組負責漏洞識別和利用過程的特定方面：

1. 漏洞模式辨識模組：此元件辨識公鑰產生過程中弱熵的數學特徵。透過分析區塊鏈上公鑰的結構屬性，它可以標記出具有與漏洞特徵一致的位址。
2. 確定性密鑰空間枚舉引擎：該工具的核心在於其係統地探索由熵漏洞導致的縮減密鑰空間。它實現了最佳化的搜尋演算法，與針對安全金鑰產生的暴力破解方法相比，顯著降低了計算需求。
3. 密碼驗證系統：此模組使用標準橢圓曲線密碼學，對候選私鑰與目標公鑰位址進行即時驗證。它確保只有有效的密鑰對才能被識別為成功恢復。
4. 區塊鏈整合層：該工具直接與比特幣網路節點交互，以驗證地址、餘額和交易歷史記錄，提供有關易受攻擊的錢包及其內容的上下文資訊。

該工具的運作原理是基於 應用密碼分析，專門針對密鑰產生過程中熵不足所導致的數學缺陷。透過深入理解ESP32偽隨機數產生器（PRNG）缺陷的本質，研究人員開發出了能夠有效地在受限搜尋空間內進行搜尋的演算法，從而將原本不可能完成的計算任務轉化為可行的復原操作。

PRIVKEYXCRACK漏洞利用：利用快取計時漏洞從比特幣錢包恢復私鑰

本文對PrivKeyXCrack 漏洞利用工具進行了深入分析，旨在揭示利用快取計時漏洞提取比特幣私鑰的可行性。 PrivKeyXCrack 基於對「Cachehawk Strike」攻擊的科學研究，展示了基於 ECDSA 和 Schnorr 演算法的現代加密貨幣實作仍然極易受到側頻道外洩攻擊。透過分析比特幣簽章快取操作中微秒級的差異，該方法建立了一種先進的金鑰恢復機制，對遺失和活躍的比特幣錢包的安全性都構成了威脅。

比特幣依賴橢圓曲線數位簽章演算法 (ECDSA) 和 Schnorr 簽章進行交易驗證。雖然這些演算法在數學上非常穩健，但它們也面臨實際實現缺陷所帶來的威脅。 PrivKeyXCrack工具是一個實驗性框架，它能夠從洩漏的計時資料中重建私鑰。與暴力破解攻擊或內存取證不同，此方法無需存取加密的錢包檔案（例如 wallet.dat），而是利用交易驗證中的快取側通道效應。

PrivKeyXCrack利用比特幣的簽章快取加速重複驗證，擷取加密操作的統計指紋。經過多次迭代，這些微架構痕跡會累積成足以重構定義私鑰的秘密標量值的模式。

PrivKeyXCrack 的攻擊機制

第一階段：時序資料收集

PrivKeyXCrack 監控比特幣節點的交易驗證流程，重點在於以下幾點差異：

• 簽名緩存命中，
• 首次快取未命中，
• 在不同的腳本條件下進行驗證呼叫。

即使是幾微秒的時間差也能提供可利用的統計變異數。

第二階段：統計相關性

PrivKeyXCrack利用類似於差分功率分析 (DPA) 的相關性技術，匯總數千個記錄的觀測值，並進行映射：

• 執行延遲與快取狀態的關係
• 不同交易中簽名核查方式的差異
• 位元級洩漏與 nonce 相關的結構相關。

這會將雜訊資料轉換為與 ECDSA/Schnorr 金鑰組件直接對應的計時指紋。

第三階段：私鑰重建

最後階段執行位元統計重建：

• 將觀測到的時間模式對應到秘密的可能標量位置。
• 反覆進行恢復，直到預測出整個密鑰。
• 將候選私鑰與區塊鏈記錄進行比對，以確認其準確性。

與以往的密碼分析漏洞不同，PrivKeyXCrack 可以在數小時內實現恢復，而無需物理節點被攻破。

獨特性和關鍵影響

PrivKeyXCrack 的獨特之處在於：

• 它不需要對設備進行實體存取——只需透過網路存取公共節點即可。
• 它運行隱蔽，不會在日誌中留下任何痕跡。
• 它展現了通用性，因為基於 txscript 的比特幣實作（例如 btcsuite）都存在共同的快取漏洞。
• 它具有高效的擴展性，可利用自動化網路探測同時應用於多個受害者。

這對比特幣的影響非常嚴重：

• 私鑰洩漏會導致錢包資金被永久偷走。
• 服務等級的攻擊可能會危及大型交易所或託管服務。
• 系統信任的喪失：比特幣加密技術不可破解的假設本身就存在崩潰的風險，因為實現方式會透過時間分析洩漏漏洞。

科學背景

快取計時漏洞在學術理論和實踐中都已充分證實，先前的 CVE 編號也確認了其易受攻擊性：

• CVE-2016-7056（OpenSSL 中的 ECDSA 側頻道洩漏）
• CVE-2022-45416（基於時間的加密側頻道攻擊），
• CVE-2021-43398（簽章解析側頻道）。

PrivKeyXCrack 將這些概念直接擴展到比特幣實作中，其中簽章快取機制會放大側頻道洩漏，使其超出傳統的金鑰恢復漏洞。

防禦性反制措施

PrivKeyXCrack的出現凸顯了加強比特幣加密堆疊的迫切需求：

• 恆定時間操作：所有簽章驗證都必須在不分支或快取與秘密資料相關的流程的情況下執行。
• 消除易受攻擊的快取行為：應避免在敏感的驗證路徑中使用加密快取。
• 確定性 nonce 應用（RFC 6979）：確保 ECDSA/Schnorr 之間無偏見的簽章一致性。
• 對側通道表面進行正式審計：識別執行時間受與秘密相關的輸入影響的每個地方。

結論

PrivKeyXCrack表明，比特幣面臨的真正危險並非僅源自於密碼學原理，而是源自於實際實現中的缺陷。攻擊者透過系統性地利用簽章驗證中的快取時序差異，可以悄無聲息地提取私鑰——即使是從那些被認為已經遺失或安全的錢包中也能做到。這種能力使得緩存攻擊不再只是理論上的探討，而是切實存在的威脅。

比特幣生態系統必須認識到，如果基於快取的側通道漏洞無法修復，將會為大規模遠端、隱密地竊取私鑰鋪平道路。防禦性工程——包括恆定時間執行、可驗證的隨機數安全性和嚴格的側通道驗證——是抵禦 PrivKeyXCrack 等工具的唯一有效保障。

研究論文：Cachehawk Strike 定時攻擊對比特幣簽章快取的密碼漏洞及其可靠緩解方法

註解

本文分析並修復了比特幣程式碼（btcsuite/txscript）中簽章快取實現的一個關鍵加密漏洞。側通道計時攻擊和基於快取的攻擊（例如「Cachehawk Strike」）使得攻擊者能夠透過分析快取存取的時序特徵來恢復 ECDSA 私鑰。本文提出了一種基於 Go 語言的安全實作模式，該模式使用恆定時間操作，並建議避免使用傳統快取來儲存秘密邏輯。

介紹

現代比特幣安全系統是基於 ECDSA 的數學穩定性，但即使是設計完美的演算法也可能抵擋不住側通道攻擊——尤其是側信道定時攻擊。其中最關鍵的攻擊是對比特幣交易中簽署快取的攻擊——簽署快取機制旨在加速簽名重新驗證，但如果實現不當，則會導致私鑰洩漏。 

漏洞是如何產生的？

在 btcsuite/txscript 的原始碼中，簽章快取的實作沒有考慮執行時間的恆定性：

去if b.vm.sigCache != nil {
    valid = b.vm.sigCache.Exists(sigHashBytes, b.sigBytes, b.pkBytes)
    if !valid && b.sig.Verify(sigHash, b.pubKey) {
        b.vm.sigCache.Add(sigHashBytes, b.sigBytes, b.pkBytes)
        valid = true
    }
} else {
    valid = b.sig.Verify(sigHash, b.pubKey)
}

在此，時間特性（彈出、尋找、簽章驗證）取決於快取內容，攻擊者可以根據操作的時間判斷命中和未命中。透過分析數千次此類操作，即可發動快取計時攻擊。 

快取命中和快取未命中之間的時間差異，以及驗證資料的差異，都會導致秘密資訊外洩：透過對操作時間序列和位元位置特徵進行數學和統計處理，可以高機率地恢復先前被認為不受此類威脅影響的私鑰 ECDSA。  wikipedia+1

漏洞利用腳本範例

1. 取得對比特幣節點的網路存取權限－攻擊者主動請求簽名並檢查節點的回應時間。
2. 記錄回應（操作時間）並產生我們自己的統計資料集。
3. 對已識別的與所用私鑰相關的快取存取時間模式進行差異分析，並利用現代相關性分析技術逐步恢復私鑰 。 aaltodoc.aalto

防止攻擊的建議和安全實施方案

主要規則 ：所有加密檢查必須在恆定時間內完成，任何對秘密資料/快取的存取都必須嚴格獨立於金鑰和輸入資料 。

1. 使用恆定時間簽名驗證

Go 提供了用於執行恆定時間操作的工具（透過標準庫）。以下範例展示了一種安全的模式：

去import (
    "crypto/ecdsa"
    "crypto/sha256"
    "crypto/subtle"
)

func constantTimeVerify(pub *ecdsa.PublicKey, msg, signature []byte) bool {
    hash := sha256.Sum256(msg)
    // Предполагается, что signature это ASN.1/DERR-формат (применить правильное декодирование)
    valid := ecdsa.VerifyASN1(pub, hash[:], signature)
    // Возвращать результат через constant-time сравнение
    // (очень важно для key-dependent операций)
    // 1 == true, 0 == false
    return subtle.ConstantTimeByteEq([]byte{boolToByte(valid)}, []byte{1}) == 1
}

func boolToByte(val bool) byte {
    if val {
        return 1
    }
    return 0
}

要點：

• 所有檢查均無條件執行，不會提前退出或根據資料進行分支。
• 使用來自的標準恆定時間比較 crypto/subtle。
• 停用所有狀態依賴資料和鍵的第三方快取。 github  +1

2. 正確使用快取

僅快取不依賴秘密資料的公開資訊。任何涉及私鑰或簽署結果的快取操作，要么應以恆定時間運行，要么在安全關鍵場景下應完全停用。

3. 其他措施

• 根據 RFC 6979 的規定，在ECDSA中使用確定性 nonce，以確保不會出現重複簽章（否則，可能會發生基於多個簽章的私鑰恢復攻擊）。 
• 審計所有簽章/快取存取操作的程式碼－任何依賴金鑰的執行路徑都可能受到攻擊 。
• 為了確保長期可靠性，應採用額外的運行時遮罩措施、稽核和安全審查。

結論

諸如Cachehawk Strike之類的漏洞  清楚地表明，主要危險不僅在於密碼學的數學層面，還在於實際實現的細節。正確實現防計時/防緩存的側頻道操作是保障比特幣網路資金和用戶個人錢包安全的前提。

社群向恆定時間加密標準的過渡以及對危險緩存模式的摒棄，確保了比特幣系統中資金儲存和傳輸的可靠性。這種安全可靠的實現方式和最佳實踐，對於任何希望保護金鑰並確保加密貨幣基礎設施未來發展的人來說，都應成為標準做法。

定論

針對比特幣簽章快取的快取時序側通道 攻擊（學術界稱之為 快取時序攻擊 ）是一個嚴重的漏洞，它動搖了加密貨幣安全的根基。攻擊者可以利用未被發現的簽章處理延遲統計分析，以取得恢復比特幣所有者私鑰的關鍵資訊。這種攻擊的危險之處在於，攻擊者無需物理接觸硬體或大量資源即可成功發動攻擊：只需網路通訊和足夠的交易驗證時間統計資料即可。

這種攻擊使得看似數學上安全的加密方案（例如 ECDSA 和 Schnorr）變得不堪一擊，因為這些方案的實作存在漏洞，且忽略了安全程式設計原則。該攻擊可能導致私鑰立即洩漏、用戶錢包資金被大規模盜取，並導致整個系統信任度的喪失。它對整個比特幣市場、用戶資金以及使用不安全快取或未能確保敏感區域演算法執行時間恆定的交易所和服務的基礎設施構成生存威脅。

快取計時攻擊 不僅真實存在，而且是一種極其危險的威脅，它能夠繞過密碼學的任何數學保證。只有嚴格遵循最佳實踐才能實現可靠的保護：使用恆定時間模式、消除資料和金鑰相關的分支，以及在處理敏感資料時停用危險快取。忽視這些原則不僅會危及單一加密錢包，還會危及整個比特幣生態系統 。

1. https://dzen.ru/a/ZPxzAJ2K81jLkAg-
2. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3362-shellshock-attack-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC %D0%BE%D1%81%D1%82%D0%B8-%D0%BD%D0%B0-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B5-%E2%80%9200% 9Cethereum%E2%80%9D-%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9-nu%D0-B0% BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B2%D0%B0%D0%BB%D1%8E%D1%82%D0%BD%D0%BE%D0%B9-%D0%B1%D0%B8%D1%D0%BE%D0%B9-%D0%B1%D0%B8%D1%
3. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3428-vector76-attack-%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%D0%B5%D0%B4%D0%BE%D0%B2%D0% D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8% D0%B5-%D1%83%D0%B3%D1%80%D0%BE%D0%B7-%D0%B4%D0%BB%D1%8F-%D1%81%D0%B5%D1%82%D0%B8-%D0%B1%D0B8%D%D%D%D%D%BE %D0%BD-%D0%B4%D0%B5%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9-%D0%BA%D1%80%D0%B8%D0%BF%D1%8200%BE%BE D0%BB%D0%B8%D0%B7-%D0%BD%D0%B0-%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5-%D1%80%D0% B5%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85%2F
4. https://vc.ru/cryptodeeptech/898865-shellshock-attack-uyazvimosti-na-servere-bitcoin-ethereum-obnazhennyy-v-gnu-bash-kriptovalyutnoy-birzhi
5. https://hub.forklog.com/klassicheskaya-ataka-fake-stake-na-protokoly-proof-of-stake/
6. https://www.securitylab.ru/news/512058.php
7. https://pikabu.ru/story/shellshock_attack_uyazvimosti_na_servere_bitcoin_amp_ethereum_obnaruzhennyiy_v_gnu_bash_kriptovalyutnoy_birzhi_10634883
8. https://www.securitylab.ru/blog/personal/rusrim/342020.php
9. https://vk.com/@cryptodeeptech-vektory-atak-na-blokchein-i-uyazvimosti-k-smart-kontraktax
10. https://www.rbc.ru/crypto/news/62b2c6129a79470c2e13e69d
11. https://en.wikipedia.org/wiki/Timing_attack
12. https://www.cosade.org/cosade19/presentations/cache_timing.pdf
13. https://aaltodoc.aalto.fi/bitstreams/b1a9accb-033c-459b-abd7-650272728ae2/download
14. https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/mitigate-timing-side-channel-crypto-implementation.html
15. https://bugzilla.redhat.com/show_bug.cgi?id=1412120

文學：

1. https://aaltodoc.aalto.fi/bitstreams/b1a9accb-033c-459b-abd7-650272728ae2/download
2. https://en.wikipedia.org/wiki/Timing_attack
3. https://www.cosade.org/cosade19/presentations/cache_timing.pdf
4. https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/wang-shuai
5. https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/mitigate-timing-side-channel-crypto-implementation.html
6. https://github.com/topics/ecdsa-signature?o=asc&s=stars
7. https://bitslog.com/2013/01/23/fixed-bitcoin-vulnerability-explanation-why-the-signature-cache-is-a-dos-protection/
8. https://bitcointalk.org/?topic=140078
9. https://en.bitcoin.it/wiki/Weaknesses
10. https://d-nb.info/1205895671/34
11. https://library.fiveable.me/elliptic-curves/unit-3/elliptic-curve-digital-signature-algorithm-ecdsa/study-guide/rhKP22veeQppzM9U
12. https://www.semanticscholar.org/paper/Secure-Implementation-of-ECDSA-Signatures-in-Wang/13e1c18ae8724d11a1261e2ba575fdd2a94c23da
13. https://courses.csail.mit.edu/6.857/2022/projects/Xiao-Mihretie.pdf
14. https://djangocas.dev/blog/ecdsa-signature-verify-in-kotlin-and-go/
15. https://pkg.go.dev/crypto/ecdsa
16. https://stackoverflow.com/questions/70973923/ecdsa-signature-verification-go-vs-openssl
17. https://go.dev/src/crypto/ecdsa/ecdsa.go
18. https://gist.github.com/LukaGiorgadze/85b9e09d2008a03adfdfd5eea5964f93
19. https://www.analog.com/en/resources/technical-articles/elliptic-curve-digital-signature-algorithm-explained.html

1. https://en.bitcoin.it/wiki/Weaknesses
2. https://www.nccgroup.com/research-blog/technical-advisory-rohnp-key-extraction-side-channel-in-multiple-crypto-libraries/
3. https://www.usenix.org/conference/usenixsecurity23/presentation/yuan-yuanyuan-cacheql
4. https://www.usenix.org/conference/usenixsecurity19/presentation/wang-shuai
5. https://dl.acm.org/doi/10.1145/3663673
6. https://www.jstage.jst.go.jp/article/transfun/advpub/0/advpub_2023VLP0010/_pdf
7. https://portswigger.net/daily-swig/ladderleak-side-channel-security-flaws-exploited-to-break-ecdsa-cryptography
8. https://www.coinfabrik.com/wp-content/uploads/2016/06/ECDSA-Security-in-Bitcoin-and-Ethereum-a-Research-Survey.pdf
9. https://arxiv.org/html/2312.11094v1
10. https://www.nobsbitcoin.com/the-curious-case-of-the-half-half-bitcoin-ecdsa-nonces/
11. https://keyhunters.ru/ecdsa-weak-nonce-attack-csprng-injection-attack-critical-random-number-generator-vulnerability-and-private-key-attack-a-security-threat-to-bitcoin-cryptocurrency/
12. https://github.com/demining/Lattice-Attack
13. https://pkg.go.dev/github.com/btcsuite/btcd/txscript
14. https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2019-12/
15. https://www.ainvest.com/news/bitcoin-network-security-taproot-role-mitigating-spam-attacks-2509/
16. https://pkg.go.dev/github.com/SINOVATEblockchain/btcutil/txscript
17. https://www.diva-portal.org/smash/get/diva2:861503/FULLTEXT02
18. https://www.nadcab.com/blog/bitcoin-taproot
19. https://cve.akaoma.com/cve-2024-34478
20. https://101blockchains.com/taproot-upgrade-improves-bitcoin-privacy-and-scalability/
21. https://nvd.nist.gov/vuln/detail/CVE-2024-34478
22. https://www.semanticscholar.org/paper/Secure-Implementation-of-ECDSA-Signatures-in-Wang/13e1c18ae8724d11a1261e2ba575fdd2a94c23da
23. https://zengo.com/bitcoin-taproot-update/
24. https://bitcointalk.org/?topic=140078
25. https://attacksafe.ru/polynonce-attack-on-bitcoin/
26. https://crypto.101blockchains.com/bitcoin-taproot-and-schnorr-signatures/
27. https://dl.acm.org/doi/pdf/10.1109/ICSE48619.2023.00037
28. https://dl.acm.org/doi/10.1007/978-3-030-32101-7_1
29. https://academy.binance.com/en/articles/what-is-taproot-and-how-it-will-benefit-bitcoin
30. https://cryptodeeptech.ru/publication/
31. https://www.osl.com/hk-en/academy/article/what-is-taproot-and-how-will-the-upgrade-impact-bitcoin
32. https://discovery.ucl.ac.uk/10060286/1/versio_IACR_2.pdf
33. https://github.com/jinb-park/crypto-side-channel-attack
34. https://github.com/demining/Reduce-Private-Key
35. https://polynonce.ru/exploiting-jacobian-curve-vulnerabilities-analyzing-ecdsa-signature-forgery-through-bitcoin-wallet-decoding/
36. https://github.com/BitcoinChatGPT/DeserializeSignature-Vulnerability-Algorithm
37. https://koreascience.or.kr/article/JAKO202011161035971.page
38. https://attacksafe.ru/ecdsa-java/
39. https://itiis.org/digital-library/manuscript/file/23399/TIIS%20Vol%2014,%20No%203-20.pdf
40. https://pkg.go.dev/github.com/ppcsuite/ppcd/txscript
41. https://en.wikipedia.org/wiki/Side-channel_attack
42. https://bitcointalk.org/index.php?topic=5529612.60
43. http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S1405-55462024000401879
44. https://github.com/bitcoin/bitcoin/issues/22329
45. https://community.umbrel.com/t/bitcoin-knots-memory-usage/22641
46. https://github.com/advisories/GHSA-wj6h-64fc-37mp
47. https://bitcointalk.org/index.php?topic=5455991.0
48. https://raw.githubusercontent.com/bitcoin/bitcoin/2e2388a5cbb9a6e101b36e4501698fec538a5738/doc/release-notes/release-notes-0.13.1.md
49. https://summerschool-croatia.cs.ru.nl/2023/slides/Jan_slides.pdf
50. https://notsosecure.com/ecdsa-nonce-reuse-attack
51. https://dl.acm.org/doi/10.1007/978-3-031-37679-5_12

文學：

1. https://aaltodoc.aalto.fi/bitstreams/b1a9accb-033c-459b-abd7-650272728ae2/download
2. https://en.wikipedia.org/wiki/Timing_attack
3. https://www.cosade.org/cosade19/presentations/cache_timing.pdf
4. https://www.bitvault.sv/blog/time-delayed-transactions-vs-side-channel-attacks
5. https://dl.acm.org/doi/10.1007/978-3-030-16350-1_2
6. https://bugzilla.redhat.com/show_bug.cgi?id=1412120
7. https://cqr.company/web-vulnerabilities/timing-attacks/
8. https://arxiv.org/pdf/2308.11862.pdf
9. https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/mitigate-timing-side-channel-crypto-implementation.html
10. https://d-nb.info/1205895671/34
11. https://bitcointalk.org/?topic=140078
12. https://yuval.yarom.org/pdfs/YaromGH17.pdf
13. https://bitslog.com/2013/01/23/fixed-bitcoin-vulnerability-explanation-why-the-signature-cache-is-a-dos-protection/
14. https://docs.aqtiveguard.com/kb-articles/timing-attacks-and-broader-side-channel-attacks/
15. https://www.usenix.org/system/files/sec22-wang-yingchen.pdf
16. https://www.iacr.org/archive/asiacrypt2009/59120664/59120664.pdf
17. https://www.reddit.com/r/cryptography/comments/15n195q/side_channel_vs_timing_attacks/
18. https://research.tue.nl/files/46933056/844305-1.pdf
19. https://fenix.tecnico.ulisboa.pt/downloadFile/1126295043839149/82457-bruno-lopes_dissertacao.pdf
20. https://www.rambus.com/blogs/side-channel-attacks/

文章導航