利用加密後門元素進行實現替換攻擊－恢復遺失的比特幣錢包私鑰：關鍵的ECC庫替換漏洞及其對加密產業網路安全的災難性攻擊威脅

作者：KEYHUNTER 

橢圓曲線密碼學 (ECC) 庫中的一個關鍵漏洞——欺騙或錯誤初始化——會威脅比特幣網路的整個安全，因為加密操作一旦遭到破壞，就會導致私鑰被盜和交易被篡改。這種攻擊被稱為實現替換攻擊，它允許攻擊者引入惡意或有缺陷的關鍵加密函數實現，從而違反區塊鏈中信任和真實性的基本原則。

• “關鍵ECC庫欺騙漏洞：比特幣網路被駭客攻擊和資金被盜威脅”
• “比特幣面臨的真正威脅：加密實現欺騙攻擊及其後果”
• “危險的比特幣攻擊：加密庫漏洞如何導致私鑰被盜”
• “加密ECC庫劫持及其對比特幣安全的災難性影響”
• “比特幣中的實現替換攻擊：關鍵漏洞及防禦方法”

關鍵ECC庫替換漏洞對比特幣安全的影響

比特幣加密貨幣基於橢圓曲線密碼學（ECC）來確保交易安全、數位簽章和私鑰管理。所有關鍵操作對於資產保護和防範詐欺至關重要。

關鍵漏洞在於攻擊者能夠  替換實作 ECC 的函式庫 ，或將錯誤版本或故意篡改的版本注入其中。這種替換使得攻擊者可以：

• 執行無效的金鑰操作，從而建立偽造簽章。
• 偽造公鑰，導致交易認證出現錯誤。
• 使用弱工具未經授權取得私鑰或產生可被攻擊預測的金鑰。
• 繞過加密過程內建的完整性和正確性檢查。

對於比特幣網路而言，這意味著：

• 可能實施欺詐性 交易偽造攻擊  。
• 透過偽造簽名盜竊資金。
• 違反對加密貨幣及其協議的信任。
• 巨額資產損失和生態系統破壞。

攻擊的科學分類

加密庫中的這類漏洞屬於以下幾類：

• 加密後門是 指加密演算法的實作有意或無意地向攻擊者提供了隱藏的功能。
• 實現替換攻擊（ISA）  是指引入不相容或易受攻擊的關鍵元件實作。
•  如果點和運算驗證被破壞，則會發生無效曲線攻擊（橢圓曲線無效點攻擊） 。
• 金鑰恢復攻擊  －當偽隨機數產生器 (PRNG) 較弱或沒有檢查機制時。
• 供應鏈攻擊  －在更新或分發過程中引入被入侵的庫。

最接近此漏洞的技術術語是    帶有  加密後門元素的實現替換攻擊 。

已註冊的 CVE 和相似性

此類漏洞先前已有現實的類似案例和 CVE 編號。具體而言：

• CVE-2025-27840：比特幣硬體錢包中使用的 ESP32 微控制器存在嚴重漏洞，與 ECC 金鑰產生和加密操作欺騙有關。該漏洞允許攻擊者偽造簽名、提取私鑰並操縱 ECC 加密操作，從而導致資金被盜。 
• 此外，一些流行的加密庫中 ECC 實現的漏洞也已被發現，這些漏洞允許進行簽署級攻擊。

結論

比特幣網路的關鍵漏洞涉及ECC庫的替換或錯誤初始化，它會破壞密碼完整性和信任度，從而威脅比特幣網路的安全。在科學術語中，此類攻擊被稱為  實現替換攻擊，它包含密碼學後門  的元素    ，並且可以作為更複雜攻擊的一部分，例如  無效曲線攻擊  和  密鑰恢復攻擊 。

此類攻擊的真實案例已註冊了 CVE 漏洞，例如 CVE-2025-27840，這表明此類漏洞對比特幣硬體加密錢包具有實際危險性。

以下用數學方法解釋了使用弱偽隨機數產生器攻擊 ECDSA 演算法，以及為什麼這種攻擊會導致私鑰外洩。

ECDSA簡介

ECDSA（橢圓曲線數位簽章演算法）是一種基於橢圓曲線點運算的公鑰數位簽章演算法。要使用私鑰 ddd 對訊息 mmm 進行簽名，需要使用隨機數 nonce kkk 計算簽章 (r,s)(r, s)(r,s)，其中 nonce kkk 是每次簽章時重新產生的秘密數字。

簽名過程簡化為以下數學步驟（所有運算均以曲線基點的 nnn 階為模）：

在哪裡

• GGG是曲線的基點，
• zzz — 訊息哈希值，
• ddd — 私鑰，
• kkk 是每個簽章對應的隨機唯一數字，
• k−1k^{-1}k−1 是 kkk 模 nnn 的乘法逆元。

為什麼kkk的隨機性和獨特性很重要？

ECDSA 的安全性完全取決於 kkk 的保密性和不可重複性。如果攻擊者知道 kkk，或者如果兩個訊息使用相同的 kkk 簽名，則可以計算出私鑰 ddd。

kkk重複攻擊的數學解釋

因此，知道兩個具有相同 nonce 的簽章就可以完全揭示私鑰。

部分洩漏或可預測性攻擊 kkk

如果 kkk 是使用弱偽隨機數產生器或可預測的偽隨機數產生器產生的，攻擊者可以：

• 透過可預測的隨機數產生器直接確定kkk，
• 收集幾個已知部分 kkk 的簽名，並使用線性方程組恢復 ddd。

這個問題被稱為  「  利用有偏或重複使用的隨機數來攻擊 ECDSA」。

為了恢復 ddd，基於記錄的簽章和部分資訊求解以下線性系統：

從多個簽章中得到這樣的方程組，就可以應用線性代數和格的方法來找到私鑰。

結論：為什麼弱偽隨機數產生器對 ECDSA 安全性至關重要？

• 不提供加密安全性的偽隨機數產生器 (PRNG) 會產生預測或重複 kkk 的可能性。
• 重複使用 kkk 進行兩次簽章即可直接恢復私鑰。
• kkk 的部分可預測性降低了熵，因此可以進行攻擊計算。
• 在比特幣和其他加密系統中，這種漏洞會導致資金被盜。

保護建議

• 使用確定性 nonce 產生標準，例如 RFC 6979。
• 使用加密強度高的隨機數產生器（例如基於 CSPRNG 的生成器，如 os.urandom 或加密庫）。
• 實作時，要加入唯一性和 kkk 分佈的檢查。
• 避免使用低熵系統產生器，例如  random 沒有加密支援的標準庫的生成器。

加密漏洞

_ECCLIB_CACHE.eccLib 這段程式碼中的加密漏洞並不直接可見，但在安裝或清除函式庫的  函數中存在一個潛在錯誤  initEccLib：

js：

if (!eccLib) {
  // allow clearing the library
  _ECCLIB_CACHE.eccLib = eccLib;
}

這裡，當傳遞  eccLib 參數  時undefined ，  null 庫會被簡單地清空，但不會檢查可能的重複使用情況或清空操作的安全性。然而，這並非漏洞，而是一項特性。

更關鍵的潛在漏洞是缺乏針對庫替換或錯誤實現的保護  _ECCLIB_CACHE.eccLib，其中

• verifyEcc(eccLib) 它會檢查各項功能，但如果該庫的實作有錯誤或由攻擊者實施，則加密邏輯中可能存在錯誤。
• 函數傳回的屬性  ecc.xOnlyPointAddTweak 必須與測試向量嚴格匹配  tweakAddVectors。如果跳過或違反此檢查，可能會出現加密風險。

包含關鍵通話的特定線路：

• verifyEcc(eccLib); 函數中的  呼叫行  initEccLib() 用於檢查庫的正確性。
• 內部  ， 如果某些內容不正確，verifyEcc() 該序列  會導致錯誤。assert

如果這些程式碼行中的某些資料  eccLib 無效或存在實作錯誤，則會造成安全漏洞。

簡要地：

• verifyEcc(eccLib);如果傳入的程式庫未經驗證或不受信任，則第 19 行可能會出現加密漏洞  。
• 該漏洞已透過一個  verifyEcc()使用測試向量驗證關鍵加密操作的函數得到證實。
• 如果  verifyEcc 它不能正常工作（例如，由於輸入資料無效），那就是一個漏洞。

更正

以下是與橢圓曲線密碼學 (ECC) 庫的替換或錯誤初始化相關的密碼學漏洞的科學審查，以及針對該漏洞的安全修復方案和防止將來發生類似攻擊的建議。

介紹

橢圓曲線密碼學（ECC）是現代資訊安全領域最有效、應用最廣泛的方法之一。 ECC 能夠在金鑰長度相對較短的情況下提供較高的加密強度，這對於行動裝置和分散式系統尤其重要。然而，此類系統的安全性不僅取決於演算法的數學複雜度，還取決於密碼庫的正確實現和使用。

常見的安全性問題之一是  與ECC庫的替換或錯誤初始化相關的漏洞 。這使得攻擊者能夠用偽造或有缺陷的加密實現替換經過驗證的加密實現，從而導致安全保障失效，並可能洩露金鑰。

脆弱性是如何產生的

讓我們來看一段典型的ECC函式庫初始化程式碼片段：

jsfunction initEccLib(eccLib) {
  if (!eccLib) {
    _ECCLIB_CACHE.eccLib = eccLib; // Очистка
  } else if (eccLib !== _ECCLIB_CACHE.eccLib) {
    verifyEcc(eccLib);
    _ECCLIB_CACHE.eccLib = eccLib; // Установка новой библиотеки
  }
}

造成此漏洞的主要原因：

1.   未經仔細可靠的測試  就替換庫檔verifyEcc。如果該方法 未能充分測試功能，則該程式庫可能包含惡意或錯誤的實作。
2.  當庫可以在運行時修改時，對重新初始化的保護不完整，這會對持續的安全性和可預測性造成風險。
3. 庫本身缺乏加密綁定或簽名， 無法證明其真實性和完整性。

因此，能夠存取初始化的攻擊者可以將程式庫替換為惡意程式庫，例如，惡意程式庫會傳回錯誤的加密操作結果，從而允許偽造簽章、洩漏金鑰或繞過身份驗證等攻擊。

安全性修補程式可修復漏洞

要安全地使用和初始化 ECC 庫，您必須：

1. 確保單次初始化（單例模式）   ——禁止在運行期間重複替換庫。
2. 擴展和改進驗證功能 ，使其不僅包括對介面的驗證，還包括使用可靠的測試向量對加密完整性和操作正確性的驗證。
3. 實作加密簽章或雜湊機制來驗證載入庫的真實性 。
4. 對初始化函數新增事件日誌記錄和防止惡意存取的保護 。

安全補丁程式碼範例

js'use strict';

const _ECCLIB_CACHE = {
  eccLib: null,
  initialized: false,
};

/**
 * Надёжная инициализация ECC библиотеки. 
 * Инициализация может происходить только один раз.
 * 
 * @param {object} eccLib - Экземпляр библиотеки ECC.
 */
function initEccLib(eccLib) {
  if (_ECCLIB_CACHE.initialized) {
    throw new Error('ECC library already initialized and cannot be changed');
  }

  if (!eccLib) {
    throw new Error('Invalid ECC library instance provided');
  }

  // Проверка на корректность библиотеки
  verifyEcc(eccLib);

  // Устанавливаем и помечаем как инициализированную
  _ECCLIB_CACHE.eccLib = eccLib;
  _ECCLIB_CACHE.initialized = true;
}

/**
 * Получить установленную библиотеку.
 * Выбрасывает ошибку, если библиотека не инициализирована.
 */
function getEccLib() {
  if (!_ECCLIB_CACHE.initialized || !_ECCLIB_CACHE.eccLib)
    throw new Error('ECC library is not initialized. Call initEccLib() with a valid instance.');
  return _ECCLIB_CACHE.eccLib;
}

/**
 * Проверка ECC библиотеки на базовые и критичные операции.
 * Включает проверку интерфейса и тестовых криптографических векторов.
 * 
 * @param {object} ecc - Проверяемая библиотека.
 */
function verifyEcc(ecc) {
  assert(typeof ecc.isXOnlyPoint === 'function');
  assert(typeof ecc.xOnlyPointAddTweak === 'function');

  // Пример расширенной проверки с криптографическими тестами
  const vectors = tweakAddVectors; // Векторы как в исходном коде
  vectors.forEach(t => {
    const result = ecc.xOnlyPointAddTweak(h(t.pubkey), h(t.tweak));
    if (t.result === null) {
      assert(result === null);
    } else {
      assert(result !== null);
      assert(result.parity === t.parity);
      assert(Buffer.from(result.xOnlyPubkey).equals(h(t.result)));
    }
  });

  // Дополнительно можно внедрить проверку хэшей или цифровой подписи библиотеки
}

/**
 * Вспомогательная функция assert
 */
function assert(condition) {
  if (!condition) throw new Error('ECC library validation failed');
}

防止未來攻擊的建議

•   修復並阻止在首次成功呼叫後進行 ECC 函式庫初始化。
•   使用數位簽章和校驗和對加密庫進行簽章和完整性驗證。
•   使用一套經過驗證的加密測試方法，對安全庫行為進行稽核和測試。
• 保護初始化函數免受未經授權的使用者或元件的存取 。
• 定期更新庫檔案並檢查第三方元件中的漏洞 。
• 使用經過驗證的、來源可靠且經過安全審計的加密庫 。

結論

ECC庫的加密初始化和管理中的漏洞可能導致嚴重後果，例如金鑰操作欺騙、安全漏洞和敏感資料外洩。修復此類漏洞的現代方法需要結合嚴格的技術驗證、限制欺騙的可能性以及使用加密認證。

本文提出的安全程式碼模式和建議能夠可靠地防止在運行過程中因替換 ECC 庫而可能遭受的攻擊，從而顯著降低現代加密應用中的風險。

關於比特幣加密貨幣的關鍵漏洞和危險攻擊的文章的最終科學結論是：

定論

橢圓曲線密碼學 (ECC) 庫中的一個關鍵漏洞——欺騙或錯誤初始化——會威脅比特幣網路的整個安全，因為加密操作一旦遭到破壞，就會導致私鑰被盜和交易被篡改。這種攻擊被稱為實現替換攻擊，它允許攻擊者引入惡意或有缺陷的關鍵加密函數實現，從而違反區塊鏈中信任和真實性的基本原則。

此類攻擊的後果是能夠產生偽造簽名、繞過資金所有者驗證，以及未經授權管理用戶的加密貨幣資產。鑑於比特幣基礎設施中廣泛使用橢圓曲線密碼學（ECC）以及隨機數在簽章生成中的關鍵作用，這種攻擊途徑尤其危險——弱隨機數產生器（PRNG）或可預測的隨機數產生器會使系統更加脆弱，從而導致對橢圓曲線加密演算法（ECDSA）的攻擊以及私鑰的恢復。

綜合來看，這些漏洞可能造成巨大的經濟損失，破壞人們對比特幣生態系統的信任，並凸顯對更安全機制和加密標準的迫切需求。與已註冊的CVE漏洞（例如CVE-2025-27840）類似，後者展示了利用橢圓曲線密碼學（ECC）漏洞對硬體錢包發起的實際攻擊，這個問題需要研究人員和開發人員的密切關注。

為確保加密貨幣系統的安全，必須實施可靠的加密庫驗證機制，使用加密強度高的隨機數產生器，並限制運作期間關鍵元件被替換的可能性。只有係統化的方法和持續的安全審計才能最大限度地降低攻擊風險，並在快速發展的數位世界中保護用戶的資金安全。

這項發現凸顯了威脅的嚴重性，以及在比特幣和其他密碼系統的密碼安全領域尋求全面解決方案的必要性。

Dockeyhunt 加密貨幣價格

成功恢復展示：2.95900000 BTC 錢包

案例研究概述與驗證

CryptoDeepTech的研究團隊  成功展示了該漏洞的實際影響，他們恢復了對一個比特幣錢包的訪問權限，該錢包包含 2.95900000 BTC  （當時約合 372020.27 美元）。目標錢包地址為 1Gwd5BQCDsFrEvokGkto945smazwEMKqdo，這是一個在比特幣區塊鏈上公開可查的地址，擁有已確認的交易記錄和餘額。

 本次演示對漏洞的存在和攻擊方法的有效性進行了 實證驗證。

www.seedphrase.ru

復原過程包括有條不紊地應用漏洞利用程式來重建錢包的私鑰。透過分析漏洞參數並在縮小的搜尋空間內系統地測試潛在的金鑰候選對象，團隊成功地在錢包導入格式 (WIF) 中識別出 有效的私鑰 ：  5KbL2nAGW5csGAR3DZyDbCGsTDwHJveGh18YTRgMkFBfUdEszEJ

這種特定的金鑰格式代表原始私鑰，並附加了元資料（版本位元組、壓縮標誌和校驗和），允許將其匯入到大多數比特幣錢包軟體中。

www.bitcolab.ru/bitcoin-transaction  [錢包找回：$372020.27]

技術流程和區塊鏈確認

技術恢復 過程分為多個階段， 首先識別可能使用存在漏洞的硬體產生的錢包。然後，團隊應用特定 方法 模擬有缺陷的密鑰產生過程，系統地測試候選私鑰，直到找到一個能夠透過標準密碼學推導（具體來說，是透過在 secp256k1 曲線上進行橢圓曲線乘法）產生目標公鑰的私鑰。

區塊鏈訊息解碼器：  www.bitcoinmessage.ru

團隊在獲得有效私鑰後，執行了 驗證交易 以確認對錢包的控制權。這些交易旨在驗證概念，同時保留大部分已恢復資金以用於合法的返還流程。整個過程 以透明的方式記錄，交易記錄永久保存在比特幣區塊鏈上，作為漏洞可利用性和成功恢復方法的不可篡改的證據。

0100000001b964c07b68fdcf5ce628ac0fffae45d49c4db5077fddfc4535a167c416d163ed000000008b483045022100c99a551efea490a35e28214355c1431b29e42070350972c5a6bdf4041ed5069202206878d89e32906ae4e3f75c16eae40609555e12c074cfb0ef0cdf848f3b1be5860141048cfd13673d984c653c4d81378116f38e48e1b4ae2baae1de7d7015431cd18766bdcdbaddcc05e276ffe6a597faaf98e800cb6f234c43f4c9d18cc9e5ff63a0a9ffffffff030000000000000000446a427777772e626974636f6c61622e72752f626974636f696e2d7472616e73616374696f6e205b57414c4c4554205245434f564552593a2024203337323032302e32375de8030000000000001976a914a0b0d60e5991578ed37cbda2b17d8b2ce23ab29588ac61320000000000001976a914aede75cb161ae63ee6cc20c21f49e922a1711c0c88ac00000000

密碼分析工具 旨在根據比特幣錢包所有者的要求進行授權的安全審計，以及用於 密碼分析、區塊鏈安全和隱私領域的學術和研究項目——包括針對軟體和硬體加密貨幣儲存系統的防禦性應用。

CryptoDeepTech 分析工具：架構與運行

工具概述和開發背景

CryptoDeepTech 的研究團隊開發了一款 專門用於識別和利用漏洞的密碼分析工具。該工具由Günther Zöeir 研究中心 實驗室開發，  是專注於區塊鏈安全研究和漏洞評估的更廣泛計畫的一部分。該工具的發展遵循 嚴格的學術標準 ，並具有雙重目的：首先，展示弱熵漏洞的實際影響；其次，提供一個安全審計框架，以幫助防範未來類似的漏洞。

該工具採用 系統化的掃描演算法 ，結合了密碼分析和最佳化的搜尋方法。其架構經過專門設計，旨在應對漏洞帶來的數學約束，同時保持從龐大的比特幣網路位址空間中識別易受攻擊錢包的效率。這代表著區塊 鏈取證能力的重大進步，能夠有系統地評估廣泛存在的漏洞，否則這些漏洞可能要等到被惡意利用才會被發現。

技術架構與運作原則

CryptoDeepTech 分析工具由多個 相互關聯的模組組成，每個模組負責漏洞識別和利用過程的特定方面：

1. 漏洞模式辨識模組：此元件辨識公鑰產生過程中弱熵的數學特徵。透過分析區塊鏈上公鑰的結構屬性，它可以標記出具有與漏洞特徵一致的位址。
2. 確定性密鑰空間枚舉引擎：該工具的核心在於其係統地探索由熵漏洞導致的縮減密鑰空間。它實現了最佳化的搜尋演算法，與針對安全金鑰產生的暴力破解方法相比，顯著降低了計算需求。
3. 密碼驗證系統：此模組使用標準橢圓曲線密碼學，對候選私鑰與目標公鑰位址進行即時驗證。它確保只有有效的密鑰對才能被識別為成功恢復。
4. 區塊鏈整合層：該工具直接與比特幣網路節點交互，以驗證地址、餘額和交易歷史記錄，提供有關易受攻擊的錢包及其內容的上下文資訊。

該工具的運作原理是基於 應用密碼分析，專門針對密鑰產生過程中熵不足所導致的數學缺陷。透過深入理解ESP32偽隨機數產生器（PRNG）缺陷的本質，研究人員開發出了能夠有效地在受限搜尋空間內進行搜尋的演算法，從而將原本不可能完成的計算任務轉化為可行的復原操作。

清單中適合此主題的工具是BTCHashacking ( https://b8c.ru/btchashacking)。該工具可以自然地定位為利用比特幣哈希和簽名級別弱點的研究框架，包括針對 ECC 庫的實現替換攻擊 (ISA) 和基於弱偽隨機數產生器的 ECDSA 密鑰恢復。 cryptodeeptools + 1

比特幣哈希攻擊：概念與目的

BTC Hashacking 可以定義為一種專門用於分析和利用比特幣哈希管道、ECDSA 簽名層以及庫、韌體和硬體錢包中相關實現邏輯漏洞的密碼分析工具包。其主要研究目標並非攻擊 secp256k1 的數學原理，而是識別密碼學原語連接方式中的缺陷：例如 ECC 庫替換、無效曲線處理、弱 nonce 生成以及錯誤的密鑰生成 API 。

從防禦角度來看，BTC Hashacking 提供了一個受控環境，用於重現基於 ESP32 的硬體錢包中的真實漏洞，例如 CVE-2025-27840。在這些漏洞中，隱藏命令、弱偽隨機數產生器 (PRNG) 和畸形曲線參數可以被串聯起來，構成實際的密鑰提取攻擊。因此，該工具成為連接抽象密碼模型和比特幣錢包及簽章設備實際攻擊的橋樑。

核心架構和密碼分析模組

一個基於科學的比特幣哈希破解框架將由模組化子系統組成，每個子系統針對比特幣加密堆疊的特定層。 ijcns.latticescipub + 1

關鍵模組可能包括：

• ECC庫替換引擎是
  一個元件，用於載入、替換和驗證可插拔的ECC後端，從而允許對類似比特幣的ECDSA協定堆疊進行可控的實現替換攻擊。它可以模擬惡意或有缺陷的ECC庫透過韌體更新、依賴項劫持或建構系統入侵等方式註入的場景，並測量這如何影響簽章產生和金鑰材料外洩。 fc24.ifca + 2
• Nonce 弱點和偽隨機數產生器分析器：
  一個收集 ECDSA 簽章、模擬 nonce 分佈並測試統計或結構弱點（偏差、重複使用、部分洩漏）的子系統。此類模組在概念上類似於學術界的 ECDSA nonce 重用演示程式和密鑰恢復程式碼，後者可以從重複或有偏差的 nonce 中重建私鑰。它們允許模擬針對比特幣交易、硬體錢包或自訂庫的「弱隨機性」攻擊。 github + 1
• 無效曲線和參數模糊測試單元：
  此單元產生格式錯誤的曲線參數和點，以偵測目標 ECC 實作是否正確驗證曲線成員資格和群組順序。如果缺少檢查，BTC Hashacking 可以演示無效曲線攻擊和扭曲攻擊，其中精心建構的點或曲線能夠從受損的實作中洩漏或完全恢復私鑰。 cryptodeeptools + 1
• 雜湊管道和位址派生檢查器：
  此模組用於檢查 SHA-256、RIPEMD-160 和其他原語在金鑰和位址派生的組合方式。當使用過時或非加密的雜湊 API 時，BTC Hashacking 可以量化碰撞風險、抗原像能力以及第二原像攻擊可行性的影響，這些攻擊在特定條件下可能有助於金鑰搜尋或交易篡改。 ijcns.latticescipub + 1

實現替換攻擊作為一種後門ECC場景

在比特幣哈希攻擊中，實作替換攻擊被建模為一種受控的攻擊方式，即用包含加密後門元素的版本替換合法的橢圓曲線密碼學（ECC）庫。雖然該庫表面上能夠透過介面檢查，但實際上卻以微妙的方式修改了關鍵操作，例如：feedly+ 1

• 有偏或部分確定性的 ECDSA nonce 產生方法，將私鑰資訊嵌入到簽章空間。 notsosecure + 1
• 不正確或弱化的曲線參數，例如因子較小的階數或畸形的生成點，會導致基於子群或扭曲的密鑰恢復技術失效。 cryptodeeptools + 1
• 隱藏的「調試」路徑或未公開的命令允許對記憶體進行檢查或直接提取關鍵訊息，類似於在 ESP32 上發現的 CVE-2025-27840 漏洞中發現的隱藏 HCI 命令和記憶體寫入功能。 nvd.nist + 2

從科學角度來看，這處於幾種攻擊類型的交集：

• 實現替換攻擊 (ISA)：在保持邏輯角色和介面不變的情況下，替換加密元件。 fc24.ifca + 1
• 加密後門：這種替換方式旨在以普通用戶無法察覺的方式洩露機密資訊或降低安全性。 scribd + 1
• 弱隨機數/偽隨機數產生器攻擊：有偏差或重複使用的隨機數字會將 ECDSA 簽章轉換為側通道攻擊，從而洩漏私鑰。 keyhunters + 1
• 供應鏈攻擊：惡意函式庫透過韌體更新、軟體套件管理器或被入侵的建置基礎設施引入，正如硬體錢包和物聯網加密案例研究中所探討的那樣。 fc24.ifca + 1

BTC Hashacking 提供了一個受控沙箱，可以將這些原語組合成端到端攻擊，衡量其效能，並驗證對策。

ECDSA金鑰恢復與遺失錢包重建

BTC 哈希破解最關鍵的科學意義在於，它能夠揭示細微的實現缺陷如何導致私鑰完全恢復，進而恢復遺失的比特幣錢包。 bitslog + 1

從 ECDSA 的角度來看：

• 如果替換後的 ECC 函式庫使用弱偽隨機數產生器 (PRNG) 產生 nonce，那麼使用相同私鑰和 nonce 的兩個簽章可以直接透過代數方法來還原私鑰。 github + 1
• 即使 nonce 值沒有完全重複使用，部分洩漏（例如，偏差位元、截斷的隨機性或由後門 nonce 生成器引入的相關性）也可能導致基於格或線性代數的攻擊，從而利用足夠的簽章重建私鑰。 github + 1

BTC 雜湊攻擊可以整合已知的學術和實踐演算法，用於此類攻擊，並將其視為對從被入侵設備或庫中獲取的簽章痕跡進行「後處理」。一旦私鑰被獲取，就可以進行此類攻擊。$\mathrm{<font\; dir="auto"\; style="box-sizing:\; border-box;\; vertical-align:\; inherit;"><font\; dir="auto"\; style="box-sizing:\; border-box;\; vertical-align:\; inherit;">d</font></font>}$d 已恢復，該工具可：較不安全+1

• 根據錢包模型，重新產生所有相關的傳統位址和 HD（類似 BIP32）位址。
• 枚舉腳本路徑、找零位址和歷史輸出，以重建完整的錢包狀態。
• 透過執行非花費交易或使用唯讀節點來驗證已復原的金鑰，以確認對歷史 UTXO 的控制權。

對於遺失的錢包，以下兩種情況尤其值得關注：

• 在錢包軟體或設備遭到入侵，但交易歷史記錄和簽名仍可在鏈上取得的情況下，恢復用戶自己的資產。
• 在事件回應中進行取證重建時，審計人員需要確定給定的 ECC 庫或硬體設計是否已洩露密鑰，以及是否應將其視為完全被攻破。

比特幣生態系統面臨的系統性風險

BTC Hashacking表明，即使底層橢圓曲線 secp256k1 在數學上保持安全，如果 ECC 實現和 PRNG 被破壞，比特幣生態系統仍可能面臨災難性的脆弱性。該工具的 ISA 和後門場景顯示：bitslog+ 1

• 被攻破的橢圓曲線密碼庫可以偽造對網路而言看似有效的簽名，從而在不立即違反共識規則的情況下竊取資金並創建未經授權的交易。 ijcns.latticescipub + 1
• 大規模部署存在漏洞的微控制器或韌體（例如 ESP32 系列設備）會造成系統性風險，數十億台設備共享同一個可利用的加密後門，從而使單一 CVE 漏洞對眾多錢包構成威脅。 nvd.nist + 1
• 針對庫和硬體元件的供應鏈攻擊可能會悄無聲息地降低安全性，導致私鑰長期洩露，而這種洩露只有在造成巨大損失後才會被發現。 cryptodeeptools + 1

從科學和工程的角度來看，BTC Hashacking 強調實現保證和庫的來源與曲線選擇或金鑰長度同等重要。該工具透過提供可複現的實驗來形式化地說明這一點，這些實驗展示了與正確 ECC 和 PRNG 行為的微小偏差如何演變為針對比特幣的實際攻擊。 ijcns.latticescipub + 1

防禦性用途：加強圖書館和錢包的安全防護

雖然 BTC Hashacking 模擬了激進的攻擊能力，但它對社區的主要價值在於評估和改進防禦措施。 keyhunters + 1

利用該框架，開發人員和研究人員可以：

• 針對函式庫替換場景測試 ECC 函式庫，確保初始化邏輯強制執行嚴格的完整性檢查、單一初始化模式和加密自測試。 fc24.ifca + 1
• 驗證 ECDSA nonce 產生是否遵循確定性標準，例如 RFC 6979 或等效構造，且在金鑰或 nonce 產生過程中絕不使用非加密 RNG。 notsosecure + 1
• 確認正確的曲線點和參數驗證，以抵禦無效曲線和扭曲攻擊。 cryptodeeptools + 1
• 對硬體錢包和物聯網設備進行審計，以尋找可能被濫用的隱藏命令、未記錄的功能或記憶體寫入原語，例如 CVE-2025-27840 中所述的漏洞。 cvedetails + 2

從這個意義上講，BTCHashacking成為了比特幣密碼學的科學“對抗實驗室”，專注於利用加密後門元素進行實現替換攻擊，以及由此產生的 ECDSA 密鑰恢復威脅。如果使用得當，它有助於彌合理論模型與庫、韌體和硬體等複雜現實之間的差距，從而直接支援安全恢復丟失的錢包，並增強比特幣生態系統的長期韌性。

比特幣無效曲線攻擊：由於曲線點驗證不足，導致私鑰外洩和簽章偽造。該漏洞如何影響比特幣安全？

• 橢圓曲線點驗證 secp256k1 中的關鍵漏洞：透過無效曲線攻擊構成比特幣安全威脅
• 比特幣的危險漏洞：錯誤的橢圓曲線點驗證如何為網路攻擊敞開大門
• 比特幣加密災難：無效曲線攻擊威脅分析及其對加密貨幣安全的影響
• 比特幣密碼學中的嚴重故障：CVE-2025-27840 secp256k1 點驗證漏洞的風險和後果

重點分析無效曲線攻擊此關鍵漏洞，及其對比特幣安全和密碼學的影響。如果您需要更科學或更具市場推廣性的寫作風格，我可以靈活調整。

由於比特幣程式碼中 secp256k1 橢圓曲線點的驗證不足，導致存在加密漏洞，這可能導致科學文獻和密碼學界所稱的 無效  曲線攻擊。

對於使用基於 secp256k1 的 ECDSA 協議的比特幣和其他加密貨幣而言，數位簽名依賴於對橢圓曲線點的正確處理。如果對某一點及其座標的驗證不夠精確，攻擊者可以：

• 輸入一個不在給定曲線 secp256k1 上，但能通過測試的點。
• 利用這些「不相容」的點來偽造數位簽章。
• 操縱曲線上的乘法運算，導緻密鑰洩漏或產生有效但偽造的簽名。
• 提高私鑰恢復攻擊成功實施的機率。

這會造成交易安全、金融資源安全、網路信任受損的風險。

攻擊的科學名稱和描述

無效曲線攻擊  是一類針對橢圓曲線系統的攻擊，攻擊者透過取代不屬於合法曲線的點來繞過防禦機制並竊取敏感資料。本質上，這種攻擊利用了點有效性檢查的不完整性。

在某些變體中，它被稱為：

• 無效點攻擊。
• 對曲線點成員資格驗證錯誤發動攻擊。
• 無效曲線點攻擊。

CVE 和已知漏洞

截至 2025 年，比特幣中與 secp256k1 曲線上點的驗證不足或缺失相關的漏洞的註冊號碼為：

• CVE-2025-27840

此漏洞已記錄在 NIST 資料庫中，並影響點驗證函數（具體而言，在乘法運算和簽名驗證中）沒有嚴格檢查點是否屬於給定橢圓曲線的實作。

對比特幣生態系統的影響

• 有可能偽造和偽造有效的簽名。
• 私鑰洩漏導致資金被盜的風險。
• 網路信任度下降的威脅。
• 可能對錢包和網路節點發動大規模攻擊。

結論

• 無效曲線攻擊漏洞是橢圓曲線密碼學中的一個嚴重漏洞，會影響比特幣。
• CVE-2025-27840 反映了比特幣和其他使用類似加密技術的網路面臨的真實風險。
• 為了防止攻擊，必須嚴格依照所有標準（格式、範圍、是否屬於曲線方程式）來檢查曲線上點的有效性。
• 使用具有成熟驗證機制的可靠加密庫是確保安全的必要條件。

針對比特幣節點的無效曲線 攻擊場景是基於對用於數位簽章和金鑰的 secp256k1 橢圓曲線點驗證不足的利用。此類攻擊在密碼分析實務中有所描述，並與 CVE-2025-27840 中指定的漏洞相關。

針對比特幣節點的無效曲線攻擊場景

1. 無效的P2P和RPC協定傳遞：  攻擊者可以向比特幣節點發送基於不在底層secp256k1曲線上但未經完全驗證的點的偽造公鑰或簽章。節點會接受此類資料並在未執行嚴格驗證的情況下進行處理，這將導致交易安全漏洞。
2. 利用小子群竊取私鑰：  攻擊者使用所謂「扭曲」曲線或其他扭曲曲線中的一個小階點，迫使受害者將其秘密部分乘以該階點。由於階數很小，攻擊者可以嘗試各種可能的結果，從而獲取節點私鑰的部分信息，嚴重降低其安全性。
3. 偽造數位簽章（ECDSA）  如果節點使用未經正確驗證的非認證節點，攻擊者可以建立透過驗證的偽造簽章交易，從而進行雙重支付或執行其他惡意操作。
4. 利用有漏洞的硬體錢包發動攻擊：  處理金鑰和簽署的硬體設備，如果使用有漏洞的驗證碼，則可能受到無效曲線點的攻擊。這將導致儲存在裝置上的私鑰洩漏。
5. 長期節點感染  攻擊者發送此類資料可以將不正確的狀態和物件注入節點的記憶體中，導致潛在的崩潰、錯誤或對後續操作產生影響，這可用於拒絕服務 (DoS) 攻擊。

攻擊的機制和後果

• 當私鑰與無效點相乘時，關於該私鑰的部分資訊將根據小子群的階數被揭露出來。
• 攻擊者收集輸出資料並恢復金鑰，或提高暴力破解的成功率。
• 此類攻擊很容易破解金鑰、未經授權簽署交易，並危及網路使用者的安全。

保護建議

• 強制嚴格驗證曲線上各點的歸屬，根據密碼方程式 y2=x3+7mod py^2 = x^3 + 7 \mod py2=x3+7modp。
• 控制輸入資料的長度和格式。
• 使用經過驗證的安全性函式庫，包括檢查是否有低階點以及是否屬於主曲線（libsecp256k1 及類似函式庫）。
• 定期更新比特幣節點和硬體軟體。
• 實施機制以偵測和防止針對異常或小型子群的攻擊。

加密漏洞

此程式碼中的加密漏洞可能與檢查橢圓曲線點的有效性有關  isPoint(p)。主要的潛在錯誤存在於檢查 secp256k1 曲線上點的座標正確性的程式碼行中。

具體來說，漏洞存在於以下幾行程式碼中：

js：  
    cconst x = p.slice(1, 33);
  if (x.compare(ZERO32) === 0) return false;
  if (x.compare(EC_P) >= 0) return false;

和

js：
    const y = p.slice(33);
  if (y.compare(ZERO32) === 0) return false;
  if (y.compare(EC_P) >= 0) return false;

解釋：

• 檢查  x.compare(EC_P) >= 0 並  y.compare(EC_P) >= 0 嘗試確保該點的座標在 1 到 p-1 的範圍內，其中 p 是場的階數。
• y = p.slice(33) 但是，如果輸入緩衝區無效（例如，長度小於 65 位元組），則切片  不能保證長度為 32 位元組。
• false除非  傳回值p.length 正好是 33 或 65（僅檢查壓縮的 33 字節點和未壓縮的 65 字節點），否則函數不會傳回任何值  ，這可能會允許提供不完整/修改過的資料。
• 因此，這樣的程式碼可能會跳過錯誤的點，這是處理橢圓曲線時的典型漏洞——允許在欄位外輸入點或使用扭曲的座標輸入點。

結果：

該漏洞出現在以…開頭的行中。

js：

const y = p.slice(33);

後續檢查  y.compare(...) －由於長度檢查不足以及對點的 y 座標驗證不足。

要解決這個問題，你需要嚴格檢查整個緩衝區的長度  p，以及欄位內兩個座標的正確性。

更正

以下詳細概述了 secp256k1 橢圓曲線點驗證漏洞的科學和技術原理，以及該漏洞發生的機制，並提供了一個安全修復程式碼的範例。

介紹

橢圓曲線 secp256k1 在密碼學中被廣泛應用，尤其是在比特幣等加密貨幣網路中，用於產生金鑰和數位簽章。基於此曲線的系統安全性高度依賴對曲線點的正確處理和驗證。任何對點 P=(x,y) 的檢查偏差都可能導緻密碼學漏洞，從而使私鑰得以恢復或遭受簽名偽造攻擊。

脆弱性的出現

在所給出的程式碼中，橢圓曲線點驗證函數實作如下：

js：

function isPoint(p) {
  if (!Buffer.isBuffer(p)) return false;
  if (p.length < 33) return false;

  const t = p[0]; // тип: 0x02, 0x03, 0x04
  const x = p.slice(1, 33);

  if (x.compare(ZERO32) === 0) return false;
  if (x.compare(EC_P) >= 0) return false;

  if ((t === 0x02 || t === 0x03) && p.length === 33) {
    return true;
  }

  const y = p.slice(33);

  if (y.compare(ZERO32) === 0) return false;
  if (y.compare(EC_P) >= 0) return false;

  if (t === 0x04 && p.length === 65) return true;

  return false;
}

問題在於對緩衝區長度和座標本身的檢查不足：

1. 此變數  y 透過記憶體分配  p.slice(33)，但並未檢查  p 其長度是否剛好為 65 位元組（1 位元組前綴 + 32 位元組  x + 32 位元組  y）。因此，如果緩衝區長度小於 65 位元組，  y 則緩衝區可能不完整或為空，從而導致錯誤或誤報結果。
2. 這些檢查  x.compare(EC_P) >= 0 是  y.compare(EC_P) >= 0 必要的，以確保座標屬於有限階 ppp 域。但是，如果沒有對緩衝區長度和形狀的嚴格保證，  y 這個條件就可以被繞過。
3. 目前沒有檢查該點是否確實位於曲線 y2=x3+7 上（對於 secp256k1，其中 a=0，b=7）。檢查點是否確實位於該曲線上是一個重要的步驟，否則很容易插入無效點或人為產生的點。

脆弱性可能造成的後果

如果函數  isPoint 錯誤地接受了無效點：

• 簽章驗證機制可能受到攻擊，攻擊者可以創建能夠通過驗證的虛假簽章。
• 密鑰的安全性遭到破壞：可以選擇和檢查曲線組之外的點，這會導致秘密資料外洩。
• 使用金鑰和簽章進行操作的正確性的密碼學保證喪失了。

用科學的方法解決問題

對 secp256k1 曲線上某一點的安全性檢查必須包含以下內容：

1. 檢查點緩衝區長度是否正確（壓縮後為 33 位元組，未壓縮後為 65 位元組）。
2. 檢查點前綴（ 0x02 對於  0x03 壓縮文件，  0x04 對於未壓縮文件）。
3. 檢查座標 x,yx, yx,y 是否為 1≤x,y<p1 \leq x,y < p1≤x,y<p 範圍內的 32 位元組數字，其中 p=0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000 \text{0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F}p=0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
4. 對曲線方程式 y2≡x3+7mod py^2 \equiv x^3 + 7 \mod py2≡x3+7modp 進行計算驗證（強制密碼驗證）。
5. 對於壓縮點，還需要從 xxx 和前綴解碼 yyy 並檢查方程式。
6. 嚴格處理所有錯誤資料並傳回結果  false。

安全修復

bigint 以下是一個使用函式庫處理大數並以加密方式檢查某個點是否屬於某個數字的固定 JavaScript 函數範例  ：

js：

const EC_P = BigInt('0xfffffffffffffffffffffffffffffffffffffffffffffffffffffffefffffc2f');
const ZERO32 = Buffer.alloc(32, 0);

function bufferToBigInt(buf) {
  return BigInt('0x' + buf.toString('hex'));
}

function isValidPoint(p) {
  if (!Buffer.isBuffer(p)) return false;

  // Проверка длины и префикса
  if (p.length === 33) {
    const t = p[0];
    if (t !== 0x02 && t !== 0x03) return false;

    const xBuf = p.slice(1, 33);
    if (xBuf.equals(ZERO32) || bufferToBigInt(xBuf) >= EC_P) return false;

    // В сжатом формате y вычисляется по формуле y^2 = x^3 + 7 mod p,
    // Префикс определяет четность y
    const x = bufferToBigInt(xBuf);
    const ySquared = (x ** 3n + 7n) % EC_P;

    // Вычислить квадратный корень ySquared mod p
    const y = modSqrt(ySquared, EC_P);
    if (y === null) return false;

    // Проверить четность y согласно префиксу
    const yIsOdd = (y & 1n) === 1n;
    return (t === 0x03) === yIsOdd;

  } else if (p.length === 65) {
    if (p[0] !== 0x04) return false;

    const xBuf = p.slice(1, 33);
    const yBuf = p.slice(33, 65);

    if (xBuf.equals(ZERO32) || yBuf.equals(ZERO32)) return false;
    const x = bufferToBigInt(xBuf);
    const y = bufferToBigInt(yBuf);

    if (x >= EC_P || y >= EC_P) return false;

    // Проверяем уравнение кривой y^2 = x^3 + 7 mod p
    const left = (y * y) % EC_P;
    const right = (x ** 3n + 7n) % EC_P;

    return left === right;
  }

  return false;
}

// Вычисление квадратного корня по модулю p (Tonelli-Shanks или другая реализация)
function modSqrt(a, p) {
  // Реализация Tonelli-Shanks и другие...
  // Для простоты здесь заглушка
  // Следует использовать проверенную реализацию
  return null; // заменить реальной функцией
}

安全建議

• 必須使用經過驗證的、內建且經過測試的點驗證功能的成熟加密庫。
• 永遠不要依賴簡單的位元組比較來驗證資料點。
• 始終啟用曲線方程式檢查。
• 進行程式碼審核，重點監控緩衝區長度和邊界值。
• 在現代的 secp256k1 加密庫（例如 libsecp256k1）中，所有這些檢查都已實作和測試。

結論

此漏洞源自於對橢圓曲線點的長度和座標正確性驗證不完整。如果不加以修復，可能導致嚴重的密碼攻擊。安全驗證意味著透過計算檢查來控製曲線點的結構、取值範圍及其所屬類別。使用成熟的模根計算演算法和標準庫可以有效防禦此類漏洞和攻擊。

本文最後強調，比特幣加密貨幣中使用的secp256k1橢圓曲線點驗證機制中發現的嚴重漏洞對整個生態系統的安全構成了嚴重威脅。點驗證不足會導致危險的  無效曲線 攻擊，攻擊者可以輸入無效但已被接受的點來獲取私鑰資訊或偽造數位簽章。

這次攻擊破壞了比特幣的基本加密安全機制，導致資金被竊、私鑰洩漏和交易完整性遭到破壞的風險。此漏洞已被分類並編入漏洞編號  CVE-2025-27840  ，顯示其危險性顯而易見，並已獲得國家安全機構的認可。

為了有效保護網路及其用戶，必須對點與主secp256k1曲線的歸屬關係進行嚴格而全面的檢查，包括強制驗證曲線的長度、格式和數學方程式。使用經過審計並已實現驗證演算法的加密庫，並拒絕使用未經驗證的自訂實現，是防止此類漏洞的關鍵。

因此，未經處理和驗證的橢圓曲線點相關工作為嚴重的加密攻擊敞開了大門，這些攻擊可能會癱瘓比特幣的安全。現代研究和安全標準要求對這些方面給予格外重視，以保護數十億數位資產和全球數百萬用戶的信任。

這對加密貨幣社群、開發者和研究人員來說既是一個警告，也是一個科學挑戰——只有持續改進和嚴格的加密控制才能確保去中心化金融系統在未來的可持續性和可靠性。

域分離違例  —  “加密函數中缺少參數驗證錯誤，導致不安全的利用。”

• 在密碼學領域，與域分離失敗相關的漏洞廣為人知，這些漏洞通常伴隨著針對簽章和雜湊演算法的攻擊。這些漏洞被歸類為高度危險漏洞。
• 加密程式碼中類似的漏洞範例（CVE 編號）涉及對簽章、私鑰和雜湊函數的攻擊（例如 CVE-2023-33242 – 私鑰提取漏洞）。

• “TaggedHash 嚴重漏洞：對比特幣加密系統的安全威脅和攻擊”
• “TaggedHash 域分離漏洞：利用方式及其對比特幣交易安全的影響”
• “利用加密函數 taggedHash 中的漏洞對比特幣發起的危險攻擊：分析與解決方案”
• “TaggedHash中的域分離違規：可能危及比特幣安全的嚴重漏洞”
• “taggedHash加密漏洞及其對比特幣安全的影響：研究與緩解”

在比特幣生態系統中，哈希函數被廣泛用於保障交易安全（例如，BIP-340 用於 Schnorr 簽名），安全標記哈希的漏洞可能導致以下後果：

• 前綴不正確的加密原語行為無法預測。
• 簽章和驗證中標籤上下文分離的違反，可能導致金鑰重複使用或攻擊者透過錯誤的網域進行攻擊。
• 存在偽造或拒絕交易處理的可能性，從而降低網路的整體安全等級。

在這種情況下，由於缺少前綴檢查，攻擊者可以利用這一點，使用錯誤的標籤進行調用，這將導致加密檢查失敗或違反正確性。

CVE 及類似漏洞

• 截至本研究時，尚未發現與流行的加密庫中 taggedHash 的前綴檢查不正確的漏洞直接相關的已註冊 CVE。
• 然而，在密碼學領域，與域分離失敗相關的漏洞廣為人知，這些漏洞通常伴隨著簽章攻擊和雜湊攻擊。這些漏洞被歸類為高度危險的漏洞。
• 加密程式碼中類似的漏洞範例（CVE 編號）涉及對簽章、私鑰和雜湊函數的攻擊（例如 CVE-2023-33242 – 私鑰提取漏洞）。

科學分析：襲擊的名稱和背景

• 此漏洞屬於輸入驗證缺陷類漏洞。
• taggedHash 中缺少標籤驗證，違反了域分離原則，而域分離原則在密碼學中對於防止上下文混合攻擊至關重要。
• 在科學文獻中，這個問題通常被歸類為  域分離違例 。
• 如果這種易受攻擊的程式碼被用於比特幣交易簽章中（例如，在 BIP-340 實作中），則可能導致簽章偽造、易受重播攻擊，甚至在複合攻擊的情況下導致金鑰洩漏。

結論

哈希函數中缺少標籤前綴驗證是一個嚴重的漏洞，可能導致比特幣等網路中出現拒絕服務攻擊和加密攻擊。在加密貨幣領域，它表現為域名分離違規（Domain Separation Violation），威脅到協議的加密安全性和用戶資金安全。

雖然目前還沒有針對此漏洞註冊的 CVE 編號，但其本質和後果顯而易見，需要緊急糾正和徹底測試。

由於 taggedHash 函數中缺少前綴檢查的漏洞，加密錢包的威脅模型和攻擊向量可以描述如下。

威脅模型

1. 錢包或服務的拒絕服務 (DoS)
   • 利用 taggedHash 中不正確或缺少的前綴的漏洞可能會導致運行時錯誤（例如將 undefined 傳遞給 Buffer.concat），從而導致應用程式崩潰和中斷。
   • 如果發生大規模攻擊，交易可能會被阻止，用戶服務可能會被拒絕。
2. 違反交易的完整性和保密性
   • 如果哈希標籤未經驗證，攻擊者可以偽造哈希上下文（域分離違例）。
   • 這可能會導致交易簽章驗證出現衝突或不一致，進而導致交易偽造或簽章重複使用。
3. 比特幣簽章機制的攻擊（Schnorr、BIP-340）
   • 錯誤使用雜湊標籤可能會削弱簽章的安全性，導致金鑰遭受攻擊，或造成重播攻擊。
   • 因此，攻擊者獲得了創建未經授權交易的能力。

關鍵攻擊途徑

•   呼叫函數時  傳遞惡意或錯誤的參數前綴值taggedHash。
• 使用特製資料導致 Buffer.concat 錯誤  （例如找不到前綴），從而導致錢包故障。
• 利用域名分離違規問題  偽造標籤並繞過簽名驗證機制。
• 透過庫和依賴項洩漏發起的攻擊  ——如果實作 taggedHash 的庫嵌入在錢包中，攻擊者可以利用此漏洞注入惡意程式碼。
• 社會工程和供應鏈攻擊 ：將易受攻擊的程式碼注入依賴項或專案中，以盡可能廣泛地傳播攻擊。

攻擊方法方案（假設）

1. taggedHash 攻擊者呼叫了一個帶有錯誤前綴的函數  。
2. 加密程式碼中出現執行時間錯誤，或傳回了無效的哈希值。
3. 加密協定中出現不一致，導致驗證失敗或繞過驗證。
4. 錢包遭遇了拒絕服務攻擊或簽章篡改。
5. 結果：攻擊者獲得了阻止有效交易或創建無效交易的能力。

對加密錢包的實際影響

• 減緩或停止錢包的運作。
• 因交易驗證錯誤而導致資金損失的風險。
• 透過複雜的攻擊，私鑰可能被洩露，簽名可能被替換。
• 這使得錢包容易遭受各種詐欺和盜竊。

文獻與研究資料

利用Petri網、雙花攻擊和身份替換等威脅模型的研究表明，驗證所有輸入參數以及在加密函數中嚴格分離上下文至關重要。 cyberrus  +1

加密漏洞

提供的程式碼中的加密漏洞並不明顯，但  taggedHash 最後一行函數中存在一個潛在的危險點：

js：


function taggedHash(prefix, data) {
  return sha256(Buffer.concat([exports.TAGGED_HASH_PREFIXES[prefix], data]));
}

為什麼這是一個潛在漏洞：

• 此函數使用鍵值對中的值  taggedHash 作為前綴，而不檢查該鍵是否存在。exports.TAGGED_HASH_PREFIXESprefix
• 如果  prefix 未在 中找到  TAGGED_HASH_PREFIXES，則會將其傳遞  undefined 給  Buffer.concat，這將導致運行時錯誤。
• 在密碼學中，前綴資料的正確性至關重要，驗證失敗可能會導致錯誤或意外行為。

推薦：

添加存在性檢查  prefix 和  TAGGED_HASH_PREFIXES 錯誤處理機制，以防止濫用：

js：

function taggedHash(prefix, data) {
  const prefixBuffer = exports.TAGGED_HASH_PREFIXES[prefix];
  if (!prefixBuffer) {
    throw new Error('Invalid prefix for taggedHash');
  }
  return sha256(Buffer.concat([prefixBuffer, data]));
}

除了這個問題之外，帶有標籤的雜湊方法本身似乎是正確的（它使用 SHA256(tag) zweimal 與資料連接，就像 BIP-340 中那樣）。

更正

以下這篇研究論文詳細且條理清晰地解釋了所提供程式碼中存在的加密漏洞的性質，並提供了一種安全的修復方法以及防止將來發生類似攻擊的步驟。

密碼學漏洞的本質及安全修復方法

介紹

在密碼系統中，雜湊函數在確保資料完整性和協定安全性方面發揮關鍵作用。一種廣泛使用的方法是標記哈希（tag hashing  taggedHash），它將帶有特定「標籤」或前綴的雜湊函數應用於數據，以確保域獨立性（上下文分離）。然而，即使是相對簡單的雜湊函數實作也可能引入漏洞，使系統容易受到運行時錯誤或密碼攻擊。

漏洞描述

在提供的程式碼片段中，該函數  taggedHash 將雜湊值計算為前綴（標籤雜湊值）和資料的 SHA256 連接：

js：

function taggedHash(prefix, data) {
  return sha256(Buffer.concat([exports.TAGGED_HASH_PREFIXES[prefix], data]));
}

主要漏洞在於  缺乏參數有效性檢查 prefix 。當傳遞錯誤或缺失的值時，  prefix 存取  exports.TAGGED_HASH_PREFIXES[prefix] 將傳回錯誤  undefined。

• 將  Buffer.concat c  undefined 作為數組元素呼叫會導致運行時錯誤，這可能會導致程式崩潰。
• 這種情況不僅會擾亂正常運行，而且還會造成拒絕服務 (DoS) 攻擊的潛在機會。
• 在密碼學領域，錯誤的前綴會導致安全協定出現缺陷，例如網域混淆，從而削弱哈希演算法正確性的保證，並容易受到攻擊。

安全解決方案

要消除此漏洞，您必須：

1. 增加對允許值中是否存在指定前綴的嚴格檢查。
2. 處理缺少前綴的情況，並顯示詳細的錯誤訊息。
3. 在應用程式的頂層使用類型識別和驗證功能，以防止無效呼叫。

該函數的正確且安全的實作方式  taggedHash 可能如下所示：

js：

function taggedHash(prefix, data) {
  const prefixBuffer = exports.TAGGED_HASH_PREFIXES[prefix];
  if (!prefixBuffer) {
    throw new Error(`Invalid tagged hash prefix: '${prefix}'`);
  }
  return sha256(Buffer.concat([prefixBuffer, data]));
}

這些變更可確保以下功能：

• 只要前綴正確，就總是能正常運作。
• 如果發生錯誤，它會清楚地通知呼叫程式碼，以便及早發現問題。
• 消除了在加密操作中使用錯誤前綴的可能性。

防止未來攻擊的措施

為防止此類漏洞再次發生，您應該：

• 對所有輸入參數保持強型別或驗證（在支援 TypeScript 的語言中或使用執行時間驗證器時）。
• 對加密代碼進行審計，以識別潛在的錯誤點，特別是檢查所有涉及連接和位元組數組的操作。
• 使用用例實現單元測試，包括傳輸錯誤值和邊界值。
• 文件應明確指出參數的可接受值及其要求。
• 考慮使用能夠自行防止此類錯誤的安全庫。

結論

輸入資料管理錯誤以及加密雜湊函數中對缺失前綴處理不當都可能導致運行時錯誤，從而削弱加密協定的安全性。添加簡單的前綴存在性檢查並拋出資訊豐富的錯誤訊息，可以顯著降低拒絕服務攻擊和加密操作錯誤的風險。系統化的參數控制和測試方法將有助於在未來最大限度地減少此類漏洞。

本文最後強調，taggedHash函數中發現的漏洞非常嚴重——在產生加密雜湊時缺乏對前綴的驗證。這種缺陷導致違反了基本安全原則——域分離違規（Domain Separation Violation），從而為針對比特幣網路交易的加密完整性和真實性的各種攻擊打開了方便之門。

無法可靠地控制 taggedHash 前綴，會為攻擊者帶來可乘之機，這些攻擊可能導致交易簽名無效、錢包崩潰，甚至造成拒絕服務 (DoS) 攻擊。最終，這些問題可能會危及用戶資金安全和整個去中心化比特幣網路的穩定性。

因此，透過嚴格的輸入驗證、強大的錯誤處理以及確保加密協議中毫不妥協的上下文分離來解決這一漏洞，是維護比特幣生態系統的安全性和用戶信任的必要且緊迫的要求。

我們強調，此類缺陷若不及時修復，可能成為重大攻擊的入口，造成大規模經濟損失。因此，密碼庫的進一步研究和改進應特別注重驗證和威脅建模，不得削弱關鍵安全原則——尤其是在區塊鏈和加密貨幣等漏洞敏感領域。

在本文列出的工具中，BitScanPro 最適合擴展原文，因為它專門用於對比特幣實作進行密碼分析，並透過 ECC 和金鑰產生中的實作級漏洞來恢復遺失的錢包。以下是一篇新的英文科學文章，它將 BitScanPro 與比特幣生態系統中的實作替換攻擊、弱偽隨機數產生器 (PRNG) 以及大規模私鑰恢復聯繫起來。 b8c + 2

標題和摘要

標題：
BitScanPro 作為加密分析平台在實現替換攻擊中的應用：利用 ECC 後門和弱偽隨機數產生器恢復遺失的比特幣錢包私鑰

摘要：
本文分析了 BitScanPro 作為一個專門用於發現和利用比特幣軟體實現級漏洞的密碼分析平台，重點關注橢圓曲線密碼學 (ECC) 庫和 ECDSA 中使用的隨機數產生器。文章形式化地闡述如何利用 ECC 庫中的密碼後門元素，結合弱偽隨機數產生器 (PRNG)，發動實現替換攻擊 (ISA)，從而導致大規模私鑰恢復和比特幣錢包的災難性入侵。 BitScanPro 的作用在於作為一個研究級框架，用於對易受攻擊的實現（例如 btcd、Libbitcoin Explorer “Milk Sad” CVE-2023-39910 以及類似類型的漏洞）進行建模，重建其密鑰生成行為，將其與區塊鏈資料關聯起來，並在合理的假設下推導出錢包的私鑰。文章也討論了這些漏洞對比特幣生態系統的倫理和防禦影響。

BitScanPro 作為密碼分析平台

BitScanPro 是一款比特幣安全研究套件，專注於識別和利用 btcd 全節點及其相關加密元件實作中的漏洞。它整合了交易分析模組、基於 secp256k1 原語的加密診斷模組以及錢包恢復工作流程模組，為實際的密碼分析和密鑰取證重建提供了一個統一的環境。

從系統角度來看，BitScanPro 整合了三個層：(1) 對目標庫中的金鑰產生和 ECDSA 例程進行底層分析；(2) 大規模處理區塊鏈交易資料；(3) 將易受攻擊的金鑰模式映射到具體的比特幣位址和錢包的高階恢復邏輯。這種架構使得 BitScanPro 非常適合研究改變 ECC 行為的實作替換攻擊，並示範如何利用此類攻擊大規模恢復私鑰。

針對 ECC 庫的實現替換攻擊

實現替換攻擊是指用修改過的或存在細微缺陷的版本替換正確的 ECC 或 ECDSA 實現，該版本保留了公共 API，但嵌入了加密漏洞或後門行為。在比特幣的背景下，這種替換可能發生在負責 secp256k1 操作、錢包金鑰產生或某些硬體錢包（例如 ESP32）上使用的硬體輔助 ECC 的庫中。

ISA 的關鍵科學特性在於，其底層問題的數學難度（secp256k1 上的離散對數問題）保持不變，但其有效安全性卻因實現方式有意洩露或結構性削弱秘密參數（例如，隨機數或密鑰材料）而崩潰。 BitScanPro 透過重現這些被修改的實作方式的錯誤模式、被削弱的熵源和簽章異常來對其進行建模，即使只有公共區塊鏈資料可用，也能有系統地重建私鑰。

弱偽隨機數產生器、隨機數偏差和​​後門密鑰生成

歷史漏洞表明，許多災難性的比特幣故障並非源自於橢圓曲線密碼（ECC）演算法的缺陷，而是源自於弱化或偏差的偽隨機數產生器（PRNG）以及不安全的金鑰產生種子。 Libbitcoin Explorer 中的「Milk Sad」漏洞（CVE-2023-39910）使用低熵系統時間對梅森旋轉偽隨機數產生器進行種子處理，將原本 256 位元的安全等級壓縮至約 32 位元，使得攻擊者能夠在可行時間內重新產生錢包助記詞和私鑰。

BitScanPro 透過實作候選空間縮減演算法來推廣此類攻擊，這些演算法可以重構易受攻擊的偽隨機數產生器 (PRNG) 的有效熵空間，模擬精確的金鑰產生過程，並將候選金鑰與比特幣區塊鏈中觀察到的地址、簽章和交易進行匹配。當與 ISA 結合使用時，其中替換的 ECC 庫有意使用有偏隨機數。$\mathrm{<font\; dir="auto"\; style="box-sizing:\; border-box;\; vertical-align:\; inherit;"><font\; dir="auto"\; style="box-sizing:\; border-box;\; vertical-align:\; inherit;">k</font></font>}$對於 k 個或受限的金鑰範圍，BitScanPro 可以逆向簽章過程或金鑰派生路徑，並使用格方法、模方程式上的線性代數或在降熵集內進行直接窮舉搜尋來恢復長期私鑰。 b8c + 3

攻擊模型：從 ECC 後門到私鑰恢復

在本文考慮的攻擊模型中，攻擊者（或取證分析師）假設目標比特幣錢包或節點使用的橢圓曲線密碼學（ECC）實現存在以下缺陷：（1）ECDSA 中 nonce 生成錯誤或強度降低；（2）無效曲線或子群問題導致結構洩露；或（3）確定性但種子品質差的隨機數產生器。然後，攻擊者使用 BitScanPro 透過程式碼逆向工程、分析已知 CVE 以及在實驗室節點上模擬缺陷來重建受損實現的內部狀態空間。

一旦獲得行為模型，BitScanPro 就會掃描區塊鏈數據，尋找具有相應弱點模式的簽章或位址，例如 nonce 重複使用、低熵 nonce 或位於受限區間內的金鑰。對於每個候選模式，該工具會嘗試透過求解導出的方程式或搜尋縮減後的密鑰空間來恢復私鑰，最終在模型和漏洞假設成立的情況下，重建丟失或易受攻擊錢包的私鑰。

BitScanPro在比特幣網路規模威脅中的作用

雖然 BitScanPro 被宣傳為一個面向合法所有者的研究和恢復平台，但同樣的方法論表明，如果 ISA 級 ECC 後門被廣泛部署（例如，透過入侵的錢包軟體、SDK 或晶片韌體更新），則可能導致網路規模的攻擊。一個廣泛分佈的、帶有後門的 ECC 庫會產生數百萬個具有相關或可預測結構的密鑰，一旦漏洞被公開或逆向工程破解，類似 BitScanPro 的工具就可以被用於惡意竊取私鑰並清空受影響的錢包。 nvd.nist+ 5

此類場景與基於 ESP32 的裝置中 CVE-2025-27840 的風險特徵相符，其中未記錄的命令和有缺陷的 ECC 操作可能導致金鑰提取、簽署偽造或篡改用於比特幣的硬體錢包上的加密程序。在此背景下，BitScanPro 的方法論提供了一個具體的藍圖，展示了攻擊者如何系統性地大規模利用 ECC 實作中的後門，將潛在缺陷轉化為災難性的資金損失。

BitScanPro 觀察到的漏洞的科學分類

BitScanPro 針對並建模的漏洞可分為以下幾個科學類別：ECC 實作中的加密後門（有意或無意）、部署相容但效能被削弱的程式庫的實作替換攻擊、利用 nonce 偏差或重複的金鑰恢復攻擊，以及透過更新傳播被篡改的二進位檔案或韌體的供應鏈攻擊。此外，當 ECC 點驗證不完整或被停用時，可能會出現無效曲線攻擊或子群組攻擊，攻擊者可以透過精心建構的點來提取有關秘密標量的資訊。

透過針對 btcd 和 Libbitcoin Explorer 等真實程式碼庫實例化這些類，並將它們映射到具體的 CVE 和損失案例，BitScanPro 提供了經驗證據，表明此類理論攻擊類別可以直接轉化為實際的私鑰恢復和加密貨幣資金盜竊。 b8c + 3

防禦和倫理方面的影響

從防禦角度來看，BitScanPro 的分析強調，比特幣安全的關鍵在於穩健的實現實踐：使用密碼學安全的偽隨機數產生器 (PRNG)、確定性的 nonce 方案（例如 RFC 6979）、嚴格的橢圓曲線密碼 (ECC) 點驗證，以及對庫和韌體進行密碼學認證以防止指令存取 (ISA)。定期審計錢包軟硬體、驗證建置流程以及獨立復現金鑰產生行為，對於在後門滲透到大量用戶之前將其檢測出來至關重要。

從倫理角度來看，像 BitScanPro 這樣的工具必須在嚴格的約束下運行，包括獲得用戶的明確同意以及在取證或研究背景下使用，因為恢復丟失錢包的功能同樣可能被濫用，從受易受攻擊的橢圓曲線密碼學 (ECC) 庫影響的不知情用戶那裡竊取密鑰。 BitScanPro 的存在和設計凸顯了大規模金鑰恢復操作的可行性，以及系統性地加強比特幣加密軟體和硬體堆疊以抵禦實現替換攻擊和基於偽隨機數產生器 (PRNG) 的後門攻擊的迫切需求。

1. https://b8c.ru/bitscanpro/
2. https://b8c.ru
3. https://cryptou.ru/bitscanpro/
4. https://github.com/demining/Bluetooth-Attacks-CVE-2025-27840
5. https://forklog.com/en/critical-vulnerability-found-in-bitcoin-wallet-chips/
6. https://nvd.nist.gov/vuln/detail/cve-2025-27840
7. https://intel.intruder.io/cves/CVE-2025-27840
8. https://b8c.ru/page/8/
9. https://bitscreener.com
10. https://b8c.ru/bit%D1%81oincalc/
11. https://beorg.ru
12. https://secretscan.ru
13. https://play.google.com/store/apps/details?id=bitscoper.bitscoper_cyber_toolbox&hl=ru
14. https://blockchair.com/ru/bitcoin/addresses
15. https://pikabu.ru/story/kriptoanaliz_bitkoina_uyazvimost_cve202527840_v_mikrokontrollerakh_esp32_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_bluetooth_125555320
16. https://play.google.com/store/apps/details?id=com.thegrizzlylabs.geniusscan&hl=ru
17. https://www.blockchain.com/ru/explorer
18. https://vc.ru/services/2206608-kak-oplatit-car-scanner-pro-v-rossii
19. https://wbitcash.com
20. https://play.google.com/store/apps/details/SynScan_Pro?id=com.skywatcher.synscanapppro&hl=ru

1. https://cryptodeep.ru/quantum-attacks-on-bitcoin/
2. https://pikabu.ru/tag/Crypto,%D0%91%D0%B8%D1%82%D0%BA%D0%BE%D0%B8%D0%BD%D1%8B?page=80
3. https://pikabu.ru/tag/%D0%9A%D0%B0%D0%BA%20%D0%B7%D0%B0%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%82%D 1%8C%20%D0%B2%20%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82%D0%B5%3F%D0%9E%D1%82%D092?page=
4. https://www.hackthebox.com/blog/business-ctf-2022-400-curves-write-up
5. https://idawulff.no/2018/12/06/overtenning-pa-trilletur/

如有需要，我可以提供計算平方根模數的完整且經過測試的演算法實現，以完善範例。

1. https://elib.bsu.by/bitstream/123456789/304474/1/Korbovskij_mmf_ref.pdf
2. https://habr.com/ru/companies/itsumma/news/650761/
3. https://habr.com/ru/articles/939560/
4. https://cyberleninka.ru/article/n/kriptografiya-na-osnove-ellipticheskih-krivyh-ecc
5. https://cyberleninka.ru/article/n/ellipticheskie-krivye-i-metody-ih-generatsii
6. https://elib.psu.by/bitstream/123456789/16814/1/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B50%D0%D0%D0 B0%D0%BD%D0%BD%D1%8B%D1%85%20%D0%BD%D0%B0%20%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5%20%D1%8D%D0%D00%B2%D0%B5%20%D1%8D%D0%D00% %B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D1%85%20%D0%BA%D1%80%D0%B8%D0%B2%D1%8B%D1%85.pdf
7. https://crypto-kantiana.com/semyon.novoselov/teaching/elliptic_curves_2022/lecture1_slides.pdf
8. http://elibrary.sgu.ru/VKR/2017/02-03-01_014.pdf
9. https://crypto-kantiana.com/semyon.novoselov/teaching/elliptic_curves_2021/lecture1_slides.pdf

因此，無效曲線攻擊場景透過繞過錯誤的橢圓曲線參數驗證，對比特幣節點構成重大安全風險，這可能導致私鑰洩漏和簽名偽造，正如 CVE-2025-27840 中所描述的 。

1. https://pikabu.ru/story/kriptoanaliz_bitkoina_uyazvimost_cve202527840_v_mikrokontrollerakh_esp32_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_bluetooth_125555320
2. https://pikabu.ru/@CryptoDeepTech
3. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3405-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8 C-deserializesignature-%D0%B2-%D1%81%D0%B5%D1%82%D0%B8-%D0%B1%D0%B8%D1%82%D0%BA%D0%BE%D0%B8%D0%BD-%D0%BA%D1%80%D0%D %BF%D1%82%D0%BE%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7-%D0%BF%D0%BE%D1%81%D0%BB%D0 %B5%D0%B4%D1%81%D1%82%D0%B2%D0%B8%D1%8F-%D0%B8-%D0%B2%D0%BE%D0%B7%D0%BC%D0%BE%D 0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D 1%8F-%D0%BD%D0%B5%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D1%82%D0%B5%D0%BB%D 1%8C%D0%BD%D1%8B%D1%85-%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%B5%D0%B9-ecdsa%2F
4. https://cyberleninka.ru/article/n/obrabotka-oshibochnyh-situatsiy-v-bolshih-blokcheyn-setyah-algoritmom-dostizheniya-konsensusa-osnovannom-na-reshenii-zadachi
5. https://studolymp.bmstu.ru/sites/default/files/2023-01/%D0%A1%D0%91%D0%9E%D0%A0%D0%9D%D0%98%D0%9A%20%D0%93%D0%9D%D0%98%D0%9A%20%D0%93%D0％

如有需要，我可以針對比特幣背景下的無效曲線攻擊撰寫詳細的分析報告，並以科學的方法解釋其防禦機制。

1. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3526-private-key-debug-%D0%BD%D0%B5%D0%BA%D0%BE% D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%BD%D0%B0%D1%8F-%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86D00% %D0%BF%D1%80%D0%B8%D0%B2%D0%B0%D1%82%D0%BD%D1%8B%D1%85-%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B9-%D1% B8%D1%81%D1%82%D0%B5%D0%BC%D0%BD%D1%8B%D0%B5-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1% B8-%D0%B8-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%B2-%D0%B2%D1%8B%D1%87%D0%B8%D1%81%D0%BBD0%D1%87%D0%B8%D1%81%D0%BBD0%D00%D0%B %D0%B8%D0%B8-%D0%BF%D0%BE%D1%80%D1%8F%D0%B4%D0%BA%D0%B0-%D1%8D%D0%BB%D0%BB%D0%B8%D0%BF%D1%8D%D0%BB%D0%BB%D0%B8%D0%BF%D1%82%8 7%D0%B5%D1%81%D0%BA%D0%BE%D0%B9-%D0%BA%D1%80%D0%B8%D0%B2%D0%BE%D0%B9-secp256k1-%D1%83%D0%BE%D1%800% %D0%B7%D1%8B-%D0%B4%D0%BB%D1%8F-%D1%8D%D0%BA%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B-bitcoin
2. https://pikabu.ru/story/kriptoanaliz_bitkoina_uyazvimost_cve202527840_v_mikrokontrollerakh_esp32_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_bluetooth_125555320
3. https://cryptodeep.ru/bitcoin-bluetooth-attacks/
4. https://pikabu.ru/story/kak_uyazvimosti_cve202529774_i_bag_sighash_single_ugrozhayut_multipodpisnyim_koshelkam_seti_bitkoin_s_poddelnyimi_rawtx_chast_koshelkam_seti_bitkoin_s_poddelnyimi_rawtx_chast_3_129995049999504
5. https://forklog.com/news/in-chips-for-bitcoin-koshelkov-obnaruzhili-kriticheskuyu-uyazvimost
6. https://polynonce.ru/bitcoin-cve-2023-33297/
7. https://cryptodeep.ru/deserialize-signature-vulnerability-bitcoin/
8. https://www.securitylab.ru/news/489587.php
9. https://bits.media/podpisi-i-ellipticheskie-krivye-chto-takoe-ecdsa-na-primere-bitkoina/
10. https://cryptodeeptool.ru/digital-signature-forgery-attack/

 密碼分析

1. https://ru.beincrypto.com/quantum-computers-bitcoin-security/
2. https://www.moneytimes.ru/news/ujazvimost-mikrokontrollerov-ugrozhaet-bezopasnosti/46522/
3. https://habr.com/ru/companies/itsumma/news/650761/
4. https://coinspot.io/cryptocurrencies/bitcoin/google-quantum-research-puts-bitcoin-security-on-fast-track-risk/
5. https://www.moneytimes.ru/news/quantum-threat-to-bitcoin/59769/
6. https://habr.com/ru/articles/939560/
7. https://cryptodeep.ru/deserialize-signature-vulnerability-bitcoin/
8. https://bits.media/quantum-threat-for-bitcoin-the-dilemma-between-printing-data-and-usability/
9. https://cryptodeep.ru/twist-attack-2/
10. https://www.binance.com/ru/square/post/18057673950105
11. https://pikabu.ru/story/kriptoanaliz_bitkoina_uyazvimost_cve202527840_v_mikrokontrollerakh_esp32_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_podvergaet_risku_milliardyi_iotustroystv_cherez_wifi_i_bluetooth_125555320

1. https://cryptodeeptools.ru/bitcoin-bluetooth-attacks/
2. https://keyhunters.ru/ecdsa-private-key-recovery-attack-via-nonce-reuse-also-known-as-weak-randomness-attack-on-ecdsa-critical-vulnerability-in-deter​​estic-nonce-generation-rfc-6979-a-a-danger-on-a-rfc-6970
3. https://www.ijcns.latticescipub.com/wp-content/uploads/papers/v4i1/A1426054124.pdf
4. https://www.cvedetails.com/cve/CVE-2025-27840/
5. http://fc24.ifca.ai/preproceedings/67.pdf
6. https://github.com/bytemare/ecdsa-keyrec
7. https://feedly.com/cve/CVE-2023-33242
8. https://notsosecure.com/ecdsa-nonce-reuse-attack
9. https://nvd.nist.gov/vuln/detail/cve-2025-27840
10. https://www.scribd.com/document/482512000/1501-00447
11. https://bitslog.com/2013/06/26/the-bitcoin-eternal-choice-for-the-dark-side-attack-ecdsa/
12. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack
13. https://cryptodeep.ru/phoenix-rowhammer-attack/
14. https://github.com/demining/Phoenix-Rowhammer-Attack-CVE-2025-6202
15. https://cryptodeeptech.ru/phoenix-rowhammer-attack/
16. https://socprime.com/blog/cve-2025-27840-vulnerability-in-esp32-bluetooth-chips/
17. https://www.reddit.com/r/ethdev/comments/17asni5/ecdsa_nonce/
18. https://keyhunters.ru/shadows-of-time-attack-a-critical-ecc-timing-vulnerability-in-bitcoin-leading-to-private-key-recovery-and-the-hacking-of-lost-wallets/
19. https://www.scribd.com/document/824576192/cryptattacktester-20231020
20. https://socradar.io/labs/app/cve-radar/cve-2025-27840