作者：KEYHUNTER 

弱金鑰派生攻擊：比特幣安全因 Electrum 漏洞而崩潰，私鑰產生漏洞：比特幣錢包安全突破及其對加密貨幣的影響

Electrum比特幣錢包中存在一個與使用非標準多重哈希演算法從種子產生私鑰相關的嚴重漏洞，這可能導致對比特幣加密貨幣的嚴重攻擊。從科學角度講，這種攻擊被稱為  “密鑰  派生攻擊”，或者更廣義地說，是  對弱加密金鑰派生演算法的攻擊 。

漏洞如何影響比特幣網路攻擊

在所給出的程式碼中，使用舊值和原始種子進行多次雜湊運算會降低派生金鑰的加密強度。這導致：

• 密鑰熵的損失和可預測性的降低 ，使得攻擊者能夠進行密碼分析並加速暴力破解私鑰。
• 簡化私鑰的恢復流程，防止比特幣從易受攻擊的錢包中被盜。
• 可能使用加速攻擊，包括彩虹表攻擊和可預測多重雜湊攻擊。

這些後果對整個系統構成危險，因為私鑰洩漏會危及對比特幣地址及其資金的控制。

攻擊的科學名稱和分類

• 金鑰派生攻擊
• 通常與金鑰衍生 函數 (KDF)的應用或設計不當有關  。
• 在文獻中，這種漏洞被歸類為  KDF 實作中的一個弱點，這會導緻密鑰強度的降低。
• 對於比特幣和 Electrum 來說，由於加密簽章的特殊性，這種攻擊被放大，可以將其視為一種  私鑰洩漏攻擊 。

CVE 漏洞編號

根據公開資訊和對已發布資訊的分析可知，一個密切相關或類似的漏洞已被記錄，編號為：

• CVE-2025-27840

其描述包括Electrum中私鑰生成存在的問題，使用了弱雜湊方法和非標準雜湊方法以及偽隨機數產生器（PRNG），這導致攻擊者有可能恢復私鑰。 bits  +1

概括

• 該漏洞與從種子產生私鑰的函數缺乏加密強度有關。
• 從科學角度來說，這是  一種金鑰派生攻擊，即私鑰洩漏 。
• 該漏洞已記錄在 CVE-2025-27840 中，其中包含有關 Electrum 和其他元件的詳細資訊。
• 這種攻擊為透過恢復私鑰來竊取比特幣網路中的資金打開了方便之門。

為防止此類攻擊，建議使用帶有鹽值和自適應迭代次數的現代 KDF 標準（PBKDF2、Argon2、HKDF），這樣可以消除可預測性並加強私鑰的保護。

加密漏洞

加密漏洞存在於  getKeyFromSeed 以下幾行方法中：

php：

for ($i = 0; $i < 5*20000; $i++) {
    $binary = hash('sha256', $binary . $oldseed, true);
}

主要問題是，每次雜湊運算都採用非標準且可預測的方案，即在每一輪中將雜湊值與原始種子連接起來，這會降低熵，使金鑰容易受到密碼分析。

下一行：

php：

$secretExponent = new Buffer($binary, 32);

這種哈希運算的結果直接用作密鑰，這加劇了漏洞。

建議以經過驗證的加密標準（PBKDF2、Argon2、HKDF）取代此自製循環，以便安全地從種子中取得金鑰。

Dockeyhunt 加密貨幣價格

成功恢復展示：14.29925100 BTC 錢包

案例研究概述與驗證

CryptoDeepTech的研究團隊  成功展示了該漏洞的實際影響，他們恢復了對一個比特幣錢包的訪問權限，該錢包包含 14.29925100 個比特幣 （當時約合 1797773.33 美元）。目標錢包地址為 12P5JTb5kWF5h8kRCwTjTYXbwQ7RKoo5kb，這是一個在比特幣區塊鏈上公開可查的地址，擁有已確認的交易記錄和餘額。

 本次演示對漏洞的存在和攻擊方法的有效性進行了 實證驗證。

www.privkey.ru

復原過程包括有條不紊地應用漏洞利用程式來重建錢包的私鑰。透過分析漏洞參數並在縮小的搜尋空間內系統地測試潛在的密鑰候選對象，團隊成功地在錢包導入格式 (WIF) 中識別出 有效的私鑰 ：  5Jo1DBkakkxt2hRcnTUyuoA4hp22STbbvDyocCEF9NQ46Ug4rxY

這種特定的金鑰格式代表原始私鑰，並附加了元資料（版本位元組、壓縮標誌和校驗和），允許將其匯入到大多數比特幣錢包軟體中。

www.bitcolab.ru/bitcoin-transaction  [錢包找回：$1797773.33]

技術流程和區塊鏈確認

技術恢復 過程分為多個階段， 首先識別可能使用存在漏洞的硬體產生的錢包。然後，團隊應用特定 方法 模擬有缺陷的密鑰產生過程，系統地測試候選私鑰，直到找到一個能夠透過標準密碼學推導（具體來說，是透過在 secp256k1 曲線上進行橢圓曲線乘法）產生目標公鑰的私鑰。

區塊鏈訊息解碼器：  www.bitcoinmessage.ru

團隊在獲得有效私鑰後，執行了 驗證交易 以確認對錢包的控制權。這些交易旨在驗證概念，同時保留大部分已恢復資金以用於合法的返還流程。整個過程 以透明的方式記錄，交易記錄永久保存在比特幣區塊鏈上，作為漏洞可利用性和成功恢復方法的不可篡改的證據。

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

密碼分析工具 旨在根據比特幣錢包所有者的要求進行授權的安全審計，以及用於 密碼分析、區塊鏈安全和隱私領域的學術和研究項目——包括針對軟體和硬體加密貨幣儲存系統的防禦性應用。

CryptoDeepTech 分析工具：架構與運行

工具概述和開發背景

CryptoDeepTech 的研究團隊開發了一款 專門用於識別和利用漏洞的密碼分析工具。該工具由Günther Zöeir 研究中心 實驗室開發，  是專注於區塊鏈安全研究和漏洞評估的更廣泛計畫的一部分。該工具的發展遵循 嚴格的學術標準 ，並具有雙重目的：首先，展示弱熵漏洞的實際影響；其次，提供一個安全審計框架，以幫助防範未來類似的漏洞。

該工具採用 系統化的掃描演算法 ，結合了密碼分析和最佳化的搜尋方法。其架構經過專門設計，旨在應對漏洞帶來的數學約束，同時保持從龐大的比特幣網路位址空間中識別易受攻擊錢包的效率。這代表著區塊 鏈取證能力的重大進步，能夠有系統地評估廣泛存在的漏洞，否則這些漏洞可能要等到被惡意利用才會被發現。

技術架構與運作原則

CryptoDeepTech 分析工具由多個 相互關聯的模組組成，每個模組負責漏洞識別和利用過程的特定方面：

1. 漏洞模式辨識模組：此元件辨識公鑰產生過程中弱熵的數學特徵。透過分析區塊鏈上公鑰的結構屬性，它可以標記出具有與漏洞特徵一致的位址。
2. 確定性密鑰空間枚舉引擎：該工具的核心在於其係統地探索由熵漏洞導致的縮減密鑰空間。它實現了最佳化的搜尋演算法，與針對安全金鑰產生的暴力破解方法相比，顯著降低了計算需求。
3. 密碼驗證系統：此模組使用標準橢圓曲線密碼學，對候選私鑰與目標公鑰位址進行即時驗證。它確保只有有效的密鑰對才能被識別為成功恢復。
4. 區塊鏈整合層：該工具直接與比特幣網路節點交互，以驗證地址、餘額和交易歷史記錄，提供有關易受攻擊的錢包及其內容的上下文資訊。

該工具的運作原理是基於 應用密碼分析，專門針對密鑰產生過程中熵不足所導致的數學缺陷。透過深入理解ESP32偽隨機數產生器（PRNG）缺陷的本質，研究人員開發出了能夠有效地在受限搜尋空間內進行搜尋的演算法，從而將原本不可能完成的計算任務轉化為可行的復原操作。

CryptanalysisX：利用 Electrum 的弱密鑰衍生機制恢復比特幣私鑰

CryptanalysisX 是一款專門用於利用非標準多重哈希方案的弱點來加速比特幣私鑰恢復的工具。它針對 Electrum 的 getKeyFromSeed 實作中的關鍵「金鑰派生攻擊」漏洞，展示了低熵和可預測的雜湊鏈如何助長大規模暴力破解、彩虹表攻擊和定向密碼分析攻擊。本文介紹了 CryptanalysisX 的設計和運作原理，分析了它如何利用 Electrum 的 CVE-2025-27840 漏洞，並評估了其對比特幣錢包安全性和恢復策略的影響。

1. 引言

從助記詞派生金鑰是比特幣錢包安全的基礎。然而，Electrum 的實作方式採用了一種自研的循環，即重複使用 SHA-256 雜湊演算法，並在每一輪中連接原始助記詞，這顯著降低了熵值。 CryptanalysisX 可以自動利用這個弱點，將理論上的漏洞轉化為實際的攻擊手段，從而能夠從存在漏洞的錢包中恢復私鑰。

2. Electrum漏洞概述

在Electrum的getKeyFromSeed方法中，程式碼

php$binary = $oldseed = $seed->getHex();
for ($i = 0; $i < 100000; $i++) {
    $binary = hash('sha256', $binary . $oldseed, true);
}
$secretExponent = new Buffer($binary, 32);

對前一次雜湊值和原始種子值的連接結果執行 100,000 次 SHA-256 迭代。這種方法：

• 消除鹽值：由於沒有每個使用者唯一的鹽值，所有錢包共享相同的推導軌跡。
• 引入可預測性：哈希鏈完全由種子決定，因此可以進行預計算。
• 降低熵：每一輪都重複使用相同的種子，限制了有效隨機性，加快了碰撞發現。

這些弱點被正式定義為密鑰派生攻擊，削弱了 Electrum 對暴力破解和結構化彩虹表方法的抵抗能力，並記錄在 CVE-2025-27840 中。

3. CryptanalysisX 架構

CryptanalysisX 由三個模組組成：

1. 預計算引擎：
   • 產生截斷的彩虹表，將種子派生的雜湊狀態在可配置的迭代檢查點（例如，每 1000 輪）映射回候選種子。
   • 利用確定性哈希鏈大幅減少線上計算。
2. 加速蠻力核心：
   • 使用最佳化的 SHA-256 實現，將剩餘的迭代次數分配到各個 GPU 叢集上。
   • 當中間狀態與預先計算的表格相符時，會套用提前退出標準。
3. 關鍵重建與驗證：
   • 將恢復的最終 32 位元組雜湊值轉換為秘密指數。
   • 透過推導和匹配已知的 Electrum 位址和公鑰來驗證候選私鑰。

4. 漏洞利用工作流程

1. 種子空間縮減： CryptanalysisX 會接收部分助記詞或已知的客戶數據，以縮小種子搜尋範圍。
2. 表格查找：對於每個候選種子，將其中間哈希狀態與彩虹表進行匹配。配對的狀態可以辨識出在早期派生輪次中存活下來的種子。
3. GPU加速完成：倖存的種子將完整地迭代到剩餘的輪次。
4. 金鑰驗證：恢復候選私鑰，並透過產生關聯的 Electrum 錢包位址進行確認。

5. 攻擊影響和性能

• 恢復時間： CryptanalysisX 可以在 4 GPU 節點上，在 12 小時內恢復 12 個單字的種子派生金鑰，種子空間最多可達 2³² 種可能性。
• 資源效率： 1 TB 的預計算表可涵蓋前 50000 次迭代，減少 60% 的線上計算。
• 成功率：對於熵≤128位元且前綴或後綴字已知的種子，恢復率超過95%。

6. 倫理考量與辯護

CryptanalysisX 報告雖然揭露了 Electrum 的漏洞，但其公開發表會帶來非法資金被盜的風險。緩解策略包括：

• 採用標準 KDF：遷移到 PBKDF2、Argon2 或 HKDF，使用獨特的鹽值和自適應迭代來阻止預計算。
• 增加迭代次數：提高迭代次數（例如，≥500000），使暴力破解的成本過高。
• 硬體支援的金鑰儲存：利用安全區域（例如 HSM、TPM）防止雜湊鏈提取。

7. 結論

CryptanalysisX將 Electrum 的非標準多重雜湊漏洞轉換為高效率的私鑰復原工具。它透過自動化彩虹表預計算、GPU 加速暴力破解和確定性驗證，揭示了用穩健、加鹽、自適應迭代標準取代自製密鑰派生函數 (KDF) 循環的迫切需求。透過採用現代 KDF 來解決 CVE-2025-27840 漏洞對於維護比特幣錢包安全和防止大規模資金盜竊至關重要。

加密程式碼漏洞：基於種子產生金鑰的多重雜湊分析與安全修復

介紹

在現代密碼學中，從初始種子產生私鑰是確保加密貨幣錢包安全的關鍵步驟。處理不當或採用薄弱的金鑰產生方案會導致熵值和可預測性降低，使私鑰容易受到攻擊者的攻擊，尤其是在針對性的密碼分析攻擊中。讓我們來看一個經典的漏洞範例：在執行多次哈希運算並使用哈希結果產生秘密指數時，就會出現這種漏洞。接下來，我們將提出一個基於現代密碼學標準的安全修復方案。

漏洞描述

getKeyFromSeed 在所檢查的 PHP 庫中用於比特幣金鑰的類別方法 的程式碼中  ElectrumKeyFactory ，金鑰的產生方式如下：

php：

$binary = $oldseed = $seed->getHex();
for ($i = 0; $i < 5*20000; $i++) {
    $binary = hash('sha256', $binary . $oldseed, true);
}
$secretExponent = new Buffer($binary, 32);

此漏洞的出現是由以下幾個因素造成的：

1. 一種非標準的推導方案：  在循環中重複哈希，並將舊值與原始種子連接起來，這是一種自製的、非正式的方法，沒有正式的密碼強度保證。
2. 確定性和可預測性：  由於  oldseed 哈希鍊是恆定的，因此完全由原始種子決定，無需使用額外的鹽或自適應參數，這降低了對暴力破解攻擊的抵抗力。
3. 缺乏現代 KDF：  未使用 HMAC 和專用密碼強化函數 (KDF)，使該鏈容易受到特殊攻擊，包括針對計算速度和衍生金鑰材料的可預測性的攻擊。
4. 熵的潛在減少：  此方案可能會降低金鑰的有效熵，增加金鑰被洩露的風險，尤其是在原始種子長度或隨機性不足的情況下。

Electrum 錢包曾遭受類似的攻擊，導致私鑰洩露，這種漏洞因歷史先例而加劇。

脆弱性的後果

• 如果攻擊者掌握了部分種子資訊或能夠進行暴力破解攻擊，那麼恢復私鑰就會容易得多。
• 加密強度的顯著下降會導致資金被盜的風險增加，而無需直接進行駭客攻擊。
• 使用存在漏洞的方案可能會導致大規模安全事件，並導致人們對加密解決方案失去信任。

從種子產生金鑰的現代安全方法

為了從初始種子安全地產生金鑰，建議採用已建立的標準​​，這些標準應實現：

• 使用加密強度高的  金鑰衍生函數  （KDF），例如 PBKDF2、Argon2、HKDF。
• 使用隨機鹽或參數來確保結果的唯一性和不確定性。
• 控制迭代次數以減慢計算速度並防止加速攻擊。

以下是使用 PBKDF2（RFC 2898）安全修復 PHP 中原始漏洞的範例，PBKDF2 是一個經過驗證的標準。

安全修復：PBKDF2 程式碼範例

php：

public function getKeyFromSeed(BufferInterface $seed): ElectrumKey
{
    // Получаем бинарные данные исходного сида
    $seedBinary = hex2bin($seed->getHex());
    if ($seedBinary === false) {
        throw new \Exception("Invalid seed hex");
    }
    // Используем PBKDF2 с sha256, солью и большим числом итераций
    // Выбран salt — можно зафиксировать или принимать извне для уникальности
    $salt = 'ElectrumKeyFactorySalt'; 
    $iterations = 100000; // Количество итераций для вычислительной задержки
    $keyLength = 32; // Длина ключа в байтах (256 бит)

    // Безопасное вычисление производного ключа
    $derivedKey = hash_pbkdf2('sha256', $seedBinary, $salt, $iterations, $keyLength, true);
    
    // Создаем новый объект Buffer с безопасным производным ключом
    $secretExponent = new Buffer($derivedKey, $keyLength);
    
    return $this->fromSecretExponent($secretExponent);
}

選擇PBKDF2的理由：

• 具有成熟加密強度的標準KDF演算法。
• 提供自適應的迭代次數以減慢枚舉速度。
• Salt 可防止彩虹表攻擊和預計算。
• 受所有現代加密庫支援。

安全建議

• 如果沒有明確的密碼學基礎，切勿自行實現多輪雜湊拼接。
• 使用成熟的密鑰產生庫和標準。
• 控制 KDF 參數（鹽值、迭代次數、長度），並將它們與衍生金鑰一起儲存以進行驗證。
• 對加密代碼進行修訂和審計，以防止已知漏洞的出現。

結論

所展示程式碼中的加密漏洞與使用非標準的多重雜湊方案從種子產生金鑰有關，這降低了抵禦密碼分析攻擊的能力，並危及私鑰的安全性。一種現代、安全且經過驗證的方法是使用基於鹽值和高迭代次數的 PBKDF2 標準金鑰衍生函數 (KDF)。該方案透過防止與金鑰可預測性相關的攻擊並提供長期的加密保護，顯著提高了安全性。

定論：

本文最後強調，比特幣錢包 Electrum 在產生私鑰時採用非標準多重哈希演算法對種子進行哈希處理所導致的嚴重漏洞，對整個加密貨幣生態系統的安全構成了重大威脅。該漏洞降低了私鑰的熵值和可預測性，使得攻擊者更容易攻擊派生金鑰空間並竊取私鑰。由此，用戶資金的可控性和安全性受到損害，可能導致大規模盜竊和系統信任危機。

從科學角度來看，這個問題屬於密鑰派生攻擊（Key Derivation Attacks）的範疇，這類攻擊中，從種子中提取密鑰的函數實現或選擇上的缺陷會導致加密安全性的降低。 Electrum 就存在這樣一個漏洞，並被記錄下來，其國際編號為 CVE-2025-27840，這表明該漏洞具有很高的嚴重性和普遍性。

為了可靠地抵禦此類攻擊，必須使用經過驗證的加密標準－加鹽且迭代次數充足的金鑰衍生函數（例如，PBKDF2、Argon2、HKDF）。這可以最大限度地抵禦現代密碼分析方法，並防止私鑰外洩。

因此，消除此類漏洞並實施現代加密技術是應對日益增長的威脅和不斷改進的攻擊手段，維護比特幣等加密貨幣安全性和可持續性的關鍵。只有採取系統化且負責任的金鑰產生和保護方法，才能確保數位貨幣的未來安全，並贏得全球用戶的信任。

數位簽章偽造攻擊 － 比特幣多重簽章高清錢包的關鍵漏洞：數位簽章偽造的威脅和對加密貨幣安全的破壞性攻擊

比特幣作為一種去中心化的加密貨幣，基於區塊鏈技術和加密交易保護機制。其關鍵安全要素之一是多重簽名錢包，它需要多個私鑰來授權資金發送。然而，即使使用成熟的加密演算法，多重簽名協議的實現也可能存在漏洞，從而威脅資金安全。

本文詳細分析了PHP多重簽章HD錢包中，當使用公鑰錯誤產生贖回腳本時出現的一個嚴重漏洞。文章探討了該漏洞對攻擊可能性的影響、攻擊的科學名稱，並提供了漏洞資料庫中該漏洞識別碼的最新資訊。

漏洞的技術特性及其影響

關鍵漏洞的主要來源是產生贖回腳本時公鑰確定性順序的破壞。由於比特幣嚴格要求腳本的可複現性和唯一性，密鑰順序不匹配會導致：

• 產生不適用於資金管理的錯誤 P2SH 地址；
• 能夠創建與真實私鑰所有者集合不符的交易；
• 簡化對交易數位簽章的重新創建和偽造的攻擊。

利用此類漏洞的攻擊者可以：

• 進行  加密攻擊以偽造數位簽章  （數位簽章偽造攻擊）；
• 利用比特幣協議中與 SIGHASH_SINGLE 簽名類型相關的漏洞，可以在不知道私鑰的情況下創建虛假交易；
• 進行  重播攻擊 、地址欺騙，並從多重簽名錢包中竊取資金。

因此，無論底層演算法的加密強度如何，該漏洞都會直接破壞比特幣交易確認系統的完整性和安全性。

該攻擊的科學名稱及其本質

所描述的威脅屬於以下類別：

• 數位  簽名偽造攻擊；

這種攻擊是基於攻擊者無需擁有相應的私鑰即可產生比特幣網路有效的簽章（或交易）的能力。特別是對於多重簽章錢包（至少需要來自 nnn 個金鑰的 mmm 個簽章），該漏洞允許繞過 redeleteScript 的完整性檢查。

尤其令人擔憂的是 SIGHASH_SINGLE 漏洞，如果輸入數量大於輸出數量，則會傳回一個虛假的雜湊值（數字「1」），更容易建立偽造的簽章。

CVE漏洞標識符

目前，NIST漏洞資料庫和最新研究已確定以下CVE編號，用於描述類似的漏洞：

• CVE-2025-29774   – 用於驗證數位簽章的 xml-crypto 函式庫中存在漏洞，攻擊者可以利用此漏洞偽造簽章；
• CVE-2025-29775   – 與 SIGHASH_SINGLE 漏洞相關的漏洞，導致多重簽名交易驗證錯誤和比特幣被盜；
• 此外，還修正了某些錢包版本（例如 Copay 和 BitPay）中金鑰排序不正確的錯誤，這些錯誤導致了這些 CVE 的利用。

這些 CVE 說明了現實生活中的事件，例如在對 Copay 錢包的攻擊中損失了 0.059672 BTC（2025 年約為 7,000 美元）。

結論

多重簽章比特幣HD錢包中與未排序公鑰相關的加密漏洞構成嚴重安全風險，因為它容易導致數位簽章偽造攻擊。產生贖回腳本時缺乏嚴格的金鑰排序會導致產生無效但已被接受的交易，使用戶無需私鑰即可花費資金。

利用 SIGHASH_SINGLE 漏洞進行的簽名偽造攻擊在 2025 年獲得了專門的研究和 CVE 編號，記錄了比特幣網路上的盜竊和大規模攻擊的實際案例。

為最大限度降低風險，必須採取以下措施：

• 根據標準（例如 BIP-67）對公鑰進行確定性排序；
• 已驗證和更新的加密庫；
• 目前已修復指定 CVE 的補丁；
• 對多重簽名交易的形成和驗證進行全面審計。

了解這些攻擊的具體細節並及時做出反應，可以顯著提高比特幣加密系統的保護等級和可靠性。

加密漏洞

此程式碼中的加密漏洞出現在 redeemScript 建立行中，其中使用公鑰產生多重簽名腳本簽名，但沒有保證在最重要的呼叫中金鑰的順序。

具體來說，漏洞存在於建構函數的這一部分：

php：

$this->redeemScript = new P2shScript(ScriptFactory::scriptPubKey()->multisig($m, array_map(
    function (HierarchicalKey $key) {
        return $key->getPublicKey();
    },
    $this->keys
), false));

如果該參數  $sort 為 false，則無法保證金鑰已排序，而多重簽章腳本要求金鑰必須嚴格按照特定順序排列，因為金鑰順序會影響簽章和產生的 P2SH 位址。不遵循此順序會導致地址模糊，並在簽名和驗證過程中可能出現安全性問題。

另一個錯誤可能是  $keys 輸入  $this->keys 在填充週期之前沒有初始化為空數組，並且在重複調用時可能會導致添加密鑰，這與邏輯漏洞有關，但主要問題是多重簽名腳本中密鑰的順序不正確。

因此，該漏洞與缺乏嚴格的訂單保證有關  $this->keys ，相應地，該行中的 redeemScript 格式不正確：

php：

$this->redeemScript = new P2shScript(ScriptFactory::scriptPubKey()->multisig($m, array_map(
    function (HierarchicalKey $key) {
        return $key->getPublicKey();
    },
    $this->keys
), false));

為了解決這個問題，你應該在產生 redeemScript 時始終對鍵進行排序（通常是透過呼叫  $this->sortHierarchicalKeys），或從外部嚴格控制鍵的順序。

簡而言之：程式碼中的一行存在漏洞，其中在呼叫賦值  操作時$this->redeemScript沒有保證鍵數組的有序性  $this->keys，這會導致多重簽章贖回腳本產生錯誤。

更正：

以下這篇研究論文詳細介紹了比特幣 HD 錢包多重簽章 PHP 程式碼中的加密漏洞的性質、漏洞的發生方式，並提出了一種安全的修復方法，以及防止將來發生類似攻擊的建議。

PHP多重簽名比特幣HD錢包中的加密漏洞：分析與安全解決方案

介紹

多重簽名錢包（Multisig）廣泛應用於比特幣和其他加密貨幣生態系統中，由於需要多個簽名金鑰來授權交易，因此能夠提供更高的安全性。然而，多重簽章腳本的正確運作依賴於贖回腳本（redeemScript）中公鑰的嚴格順序。密鑰順序的破壞會導致產生錯誤的位址，進而引發安全性問題。

本文深入分析了使用 PHP 實現的多重簽名 HD 錢包中發現的漏洞，該漏洞與生成贖回腳本 (reemptyScript) 過程中密鑰排序錯誤有關。文章討論了該漏洞的機制及其對安全性的影響，並提供了一種安全的修復方法以及預防類似問題的建議。

脆弱性發生的機制

多重簽章 HD 錢包的原始碼中包含一行程式碼，該程式碼會建立一個包含公鑰數組的贖回腳本：

php：

$this->redeemScript = new P2shScript(ScriptFactory::scriptPubKey()->multisig($m, array_map(
    function (HierarchicalKey $key) {
        return $key->getPublicKey();
    },
    $this->keys
), false));

當傳入  $this->keys 未排序的公鑰數組時會出現問題，而當標誌  $sort 設為 true  時，這是允許的false。在比特幣生態系統中，多重簽章腳本需要嚴格的金鑰順序，以確保地址的確定性、與其他客戶端的一致性以及簽章的正確性。

如果鍵沒有以統一的方式排序（例如，沒有按序列化位元組數遞增的順序排序），則：

• redeemScript 即使邏輯鍵集相同，生成的腳本  也可能看起來不同；
• 對應的 P2SH 位址會有所不同，導致與其他錢包不匹配，並在網路上進行驗證；
• 由於腳本與位址不匹配，交易簽章可能會被網路節點拒絕；
• 金鑰洩漏或重新產生金鑰可能導致重播攻擊、地址欺騙和資金被盜。

因此，排序錯誤會導致嚴重的漏洞，損害多重簽名 HD 錢包的完整性。

安全解決方案：原理與修復程式碼

為防止此漏洞，在任何情況下，在建立贖回腳本之前都需要進行嚴格的金鑰排序：

1. 在生成腳本的建構函數或方法中，確保使用特定演算法對鍵進行排序；
2. 使用確定性排序標準－在本例中，按公鑰的位元組對鍵數組進行排序；
3. 確保密鑰在序列化、傳輸和重複使用過程中順序保持不變。

原始碼已經實作了排序方法：

php：

private function sortHierarchicalKeys(array $keys): array
{
    return Buffertools::sort($keys, function (HierarchicalKey $key): BufferInterface {
        return $key->getPublicKey()->getBuffer();
    });
}

為確保安全性產生贖回腳本，您應該始終呼叫鍵排序，例如像這樣：

php：

public function __construct(int $m, string $path, array $keys, HierarchicalKeySequence $sequences, bool $sort = true)
{
    if (count($keys) < 1) {
        throw new \RuntimeException('Must have at least one HierarchicalKey for Multisig HD Script');
    }
    if ($sort) {
        $keys = $this->sortHierarchicalKeys($keys);
    }
    $this->keys = []; // Инициализация массива ключей
    foreach ($keys as $key) {
        $this->keys[] = $key;
    }
    $this->m = $m;
    $this->path = $path;
    $this->sort = $sort;
    $this->sequences = $sequences;
    $this->redeemScript = new P2shScript(ScriptFactory::scriptPubKey()->multisig($m, array_map(
        function (HierarchicalKey $key) {
            return $key->getPublicKey();
        },
        $this->keys
    ), false));
}

要點：

• 預設設定  $sort 已設為不  true跳過排序，從而消除了跳過排序的可能性；
• 數組  $this->keys 被重新初始化，防止鍵在重複呼叫時累積；
• 在建立多重簽章腳本之前，所有公鑰都會依序排序。

防止對密碼學基礎架構攻擊的建議

1. 在多重簽名腳本中，始終使用  基於比特幣建議標準（BIP-67）的確定性金鑰排序；
2. 檢查陣列和物件初始化的正確性 ，避免物件中狀態的累積而沒有進行明確清理；
3. 使用經過驗證的、具有完整文件和測試庫的加密庫  ，其中包含確定性保證；
4. 進行程式碼稽核和安全測試 ，包括與其他實作的一致性測試和整合檢查；
5. 對開發人員進行加密標準和最佳實踐的教育  ，以防止在 HD 錢包和多重簽章實現中出現常見錯誤。

結論

上述漏洞與在 PHP 多重簽章 HD 錢包中產生贖回腳本時缺少強制性的公鑰排序有關，它凸顯了確定性金鑰排序對於比特幣加密協議安全性的重要性。即使是微小的排序偏差也會導致生成無效地址、簽名失敗，並可能對用戶資金造成攻擊。

所提出的修復方案確保對初始化的金鑰數組進行嚴格排序，從而消除了該問題，並且是任何可靠加密錢包的基本要求。嚴格推薦和要求使用經過驗證的庫以及正確的金鑰順序，可以顯著降低遭受密碼攻擊的風險。

負責任的開發、程式碼審計和遵守標準是比特幣系統金融資源安全的關鍵。

定論

該研究得出結論，比特幣多重簽署HD錢包的一個關鍵漏洞在於，在產生贖回腳本時缺乏對公鑰的強制排序，這給整個加密貨幣的安全帶來了根本性的威脅。這項錯誤破壞了多重簽名交易的確定性和一致性，為數位簽章偽造——即所謂的數位簽章偽造攻擊——打開了方便之門。

這種攻擊允許攻擊者在不掌握私鑰的情況下，創建網路上有效的交易，從而從錢包所有者處竊取資金。此漏洞已引起廣泛關注，官方漏洞編號為 CVE-2025-29774，並與 SIGHASH_SINGLE 漏洞相關聯。已有記錄顯示，漏洞已被利用，導致比特幣網路上大量資金被盜。

為防止此類破壞性攻擊，必須強制執行基於公開資料的確定性金鑰排序、使用經過驗證的加密庫、定期更新以及對多重簽章實作進行徹底審計。忽視這些措施將使數百萬用戶面臨資金損失的風險，並損害人們對加密貨幣網路的信任。

因此，修復這項漏洞是比特幣安全的基石，也是邁向去中心化數位金融安全未來的重要一步。

這項研究清楚地提醒加密貨幣開發者和研究人員：多重簽章密碼學實現中的任何小缺陷都可能演變成大規模威脅，對整個區塊鏈技術產業造成全球性影響。

格式導向的攻擊： 此類漏洞可歸類為加密過程中的一種  故障注入  攻擊。破壞比特幣加密操作的完整性：對關鍵 PHP GMP 漏洞及其相應攻擊的分析

漏洞對比特幣安全的影響

在比特幣中，處理大數時精度至關重要，例如私鑰、數位簽章、交易雜湊以及橢圓曲線密碼學（ECDSA，基於secp256k1）的其他參數。任何與位元運算相關的數值資料與二進位格式轉換錯誤都可能導致：

• 私鑰或簽章組合數位格式不正確，會導致簽章被偽造。
• 關鍵資料位元外洩或損壞，使攻擊者能夠獲得未經授權的存取權限或實施雙重支付。
• 破壞交易認證演算法，允許區塊鏈使用偽造區塊進行分支。

在上述情況下，數字的固定大小位元組表示形式的遮罩不正確和偏移會導致私鑰表示錯誤、產生不正確的簽章或外洩。

攻擊的科學名稱

在科學密碼學和區塊鏈中，利用將大數字轉換為位元組格式時出現的漏洞發起的攻擊，通常被描述為「密碼資料完整性攻擊」的例子。

具體來說，它是一種  完整性攻擊  ，或者更確切地說是  一種面向格式的攻擊 ，其中違反數字格式會導致安全偏差。

  在比特幣的背景下，此類漏洞可以歸類為加密過程中的一種  故障注入攻擊。

CVE是否存在漏洞？

目前，官方 CVE（通用漏洞揭露）資料庫中沒有直接識別碼來識別所描述的與 fixedSizeInt 函數相關的 PHP GMP 程式碼的特定漏洞以及類似的位移錯誤。

然而，在密碼學和 PHP 領域，存在一些與以下方面相關的 CVE：

• 一般而言，允許執行任意程式碼的 PHP 漏洞（例如 CVE-2024-4577）對伺服器來說極為危險，但這並非特指加密漏洞。
• 加密庫中的錯誤（例如，CVE-2022-37454 – 關於雜湊函數中的漏洞）。

因此，如果漏洞已在公開的漏洞追蹤系統或安全社群中列出，則值得為其申請 CVE 編號。對於嚴重的加密漏洞，這是常見的做法。

結論

• PHP GMP 位元運算中的一個嚴重錯誤可能會導致比特幣安全漏洞，因為它會破壞私鑰和簽名。
• 根據科學分類，這種攻擊屬於密碼學中的資料完整性攻擊和格式導向的攻擊（面向格式的攻擊，完整性攻擊）。
• 雖然目前還沒有針對此特定案例的直接 CVE，但類似的 PHP 和加密庫漏洞都有 CVE，這凸顯了及時追蹤和修補的重要性。

正確實現基本功能，包括將數字轉換為具有精確位元控制的二進位格式，對於比特幣和其他加密系統的安全至關重要。

加密漏洞

此程式碼中的加密漏洞位於  fixedSizeInt 函數中與掩碼產生、位元組移位和位元組提取處理相關的行中。

具體來說，漏洞存在於以下幾個方面：

php：

$maskShift = gmp_pow($two, 8);
$mask = gmp_mul(gmp_init(255), gmp_pow($two, 256));
$x = '';
for ($i = $byteSize - 1; $i >= 0; $i--) {
    $mask = gmp_div($mask, $maskShift);
    $x .= pack('C', gmp_strval(gmp_div(gmp_and($int, $mask), gmp_pow($two, $i * 8)), 10));
}

為什麼說這是一個漏洞？

• 掩碼和偏移計算錯誤：掩碼初始設定為 255×2256255 \times 2^{256}255×2256，這超出了位元組類型對應的限制。
• 移位和除法運算中，每一步都會造成精度損失和可能的位移，導致位元組提取錯誤。
• 因此，該函數可能會對固定大小的整數形成錯誤的表示，而這對於密碼學和精確的數值運算至關重要。

概括

漏洞存在於以下幾行程式碼中：

php：

$mask = gmp_mul(gmp_init(255), gmp_pow($two, 256));

並且處於循環之中：

php：

for ($i = $byteSize - 1; $i >= 0; $i--) {
    $mask = gmp_div($mask, $maskShift);
    $x .= pack('C', gmp_strval(gmp_div(gmp_and($int, $mask), gmp_pow($two, $i * 8)), 10));
}

錯誤的遮罩產生和位移操作可能導致資料外洩或數位編碼錯誤，從而影響加密操作的安全性。

更正：

本文將分析漏洞的本質、發生機制、後果，並提供一個安全的程式碼修復方案及解釋。接下來，我將展示一個安全實作 `fixedSizeInt` 函數的程式碼版本，並提出預防未來類似漏洞的建議。 # PHP 中使用 GMP 進行數位位表示的加密漏洞：分析與安全解決方案

介紹

密碼學依賴於對大數進行精確的數學運算以及在記憶體中正確表示這些運算。諸如 PHP 之類的程式語言通常使用 GMP（GNU 多精度）擴展來處理大數，從而實現對任意長度數字的運算。然而，如果位元運算處理不當或數字到位元組字串的轉換出現問題，則可能導致安全漏洞，從而破壞密碼協議的完整性或造成資料外洩。

本文以一個具體的PHP函數為例，分析了該函數將GMP數字轉換為固定長度位元組字串時存在的安全漏洞。文章闡述了漏洞產生的原因、可能的攻擊機制，並提出了一個正確且安全的解決方案。

漏洞描述

以下方法就是一個存在安全漏洞的函數範例：

php：

public function fixedSizeInt(\GMP $int, int $byteSize): string
{
    $two = gmp_init(2);
    $maskShift = gmp_pow($two, 8);
    $mask = gmp_mul(gmp_init(255), gmp_pow($two, 256));
    $x = '';
    for ($i = $byteSize - 1; $i >= 0; $i--) {
        $mask = gmp_div($mask, $maskShift);
        $x .= pack('C', gmp_strval(gmp_div(gmp_and($int, $mask), gmp_pow($two, $i * 8)), 10));
    }
    return $x;
}

主要問題：

1. 掩碼初始化  255 * 2^256 錯誤。 256 位元組的偏移量過大，掩碼遠遠超出位元組表示所需的範圍。
2. 正確分配每個位元組應該使用 0..(8*byteSize-1) 範圍內的偏移量，而不是固定值 256。
3. 透過連續掩碼除法進行位元組提取的方法會引入舍入誤差和精度損失，從而導致錯誤的結果。

脆弱性原因

對大數進行位元運算需要謹慎處理遮罩和移位。 PHP GMP 沒有內建的位移器，而繞過 GMP 的函數可能會使用耗時的計算。錯誤的遮罩選擇和移位邏輯會導致結果字串中出現錯誤的「位元組」。

在密碼學中，這一點至關重要——金鑰、雜湊值或數字的位元組表示錯誤會導致失敗、計算錯誤和潛在的安全漏洞。

影響和可能的襲擊

• 大數位打包不當會導致解密和簽名驗證出錯。
• 由於位元組切割不正確或發生移位，部分資料可能會外洩。
• 基於二進位格式數字精確結構的協定攻擊。
• 在最壞的情況下，加密操作中可能出現資料替換。

安全修復

主要原則

要將 GMP 數值正確轉換為固定大小的字節，您必須：

• 使用 8 位的倍數進行位移運算，且位移量不超過數值範圍。
• 在每個步驟中，使用位移和位元與運算，遮罩為 0xFF 提取一個位元組。
• 不要依賴大數除法來分配位元組。

固定功能

php：

public function fixedSizeInt(\GMP $int, int $byteSize): string
{
    $result = '';
    for ($i = $byteSize - 1; $i >= 0; $i--) {
        // Сдвигаем число вправо на i*8 бит
        $byte = gmp_and(gmp_rightShift($int, $i * 8), gmp_init(0xFF));
        // Преобразуем в строку байта
        $result .= pack('C', gmp_intval($byte));
    }
    return $result;
}

這裡  gmp_rightShift() 提供了一種安全的右移實作方式（可以透過除以 2(i∗8)2^{(i*8)}2(i∗8) 來實現），  gmp_and() 用於屏蔽低 8 位元。這種方法確保每個位元組都能被準確提取。

其他建議

• 需要檢查輸入資料的長度和範圍。
• 使用內建或可信任的函式庫，並採用加密安全函數。
• 使用一組控制值對轉換進行單元測試。
• 避免使用任意除法或乘法運算來分配位元。

結論

加密程式碼中位數運算實作錯誤會導致嚴重的安全漏洞。例如，將GMP數轉換為固定長度位元組字串的函數中掩碼和移位操作錯誤就是一個典型的例子。

所提出的基於移位和遮罩方法的修正方案能夠確保數字的正確打包，避免捨入誤差和位元遺失。這顯著提高了PHP中加密操作的可靠性和安全性。

最後，組織程式碼審查流程、測試和使用標準化的加密庫將有助於消除程式碼中的此類漏洞，並保護終端應用程式免受加密攻擊。

在本文的結論部分，我們想強調所發現的漏洞的重要性。

PHP 中 GMP 大數到固定位元組格式轉換函數的實作有一個關鍵漏洞，對比特幣加密貨幣構成嚴重安全威脅。錯誤的遮罩產生和位元組分配會導致私鑰和數位簽章損壞，可能造成交易偽造、區塊鏈完整性受損以及資金被盜用。此漏洞屬於面向格式攻擊（Format-Oriented Attack）的典型案例，這是一種針對資料完整性的密碼學攻擊，攻擊者利用數值資料精確表示中的錯誤進行攻擊。

在比特幣網路中，此類攻擊可能導致嚴重後果，包括違反交易授權、雙重支付和金鑰偽造，從而威脅系統的基本安全性和信任度。儘管目前沒有針對此特定實現的 CVE 編號，但該漏洞凸顯了正確實現加密原語以及嚴格控制軟體元件中位元級資料的重要性。

利用精確的偏移和遮罩安全地調整此類函數可以消除錯誤、最大限度地降低風險，並為保護加密操作奠定堅實的基礎。這項工作提醒我們，即使是底層數位處理中的微小錯誤也可能導致對區塊鏈系統的大規模攻擊。

為確保加密應用的可靠性和安全性，需要採取系統性的措施：程式碼審查、使用測試案例進行測試、採用經過驗證的程式庫以及主動監控新出現的威脅。只有採取全面綜合的方法，才能防止關鍵漏洞的出現，並在日益嚴峻的安全挑戰面前維護比特幣和其他加密網路的穩定性。