Данная статья посвящена рассмотрению эволюции угроз безопасности в сфере хранения криптовалют, с акцентом на современные методы компрометации приватных ключей и seed-фраз, обеспечивающих защиту цифровых кошельков. Современная экосистема криптовалюты сталкивается с возрастающей угрозой кибератак, направленных на компрометацию приватных ключей и сид-фраз, которые являются основой безопасности цифровых кошельков. С каждым годом повышается сложность и изощрённость атак, эксплуатирующих не только программные, но и аппаратные уровни современных мобильных устройств. Наряду с традиционными угрозами, такими как clipboard hijacking, keylogging, подмена QR-кодов и эксплуатация уязвимостей в реализации BIP32/BIP39 кошельков, исследователи всё чаще выявляют новые пути компрометации криптографических данных, хранящихся на смартфонах.
В начале октября 2025 года специалисты из Carnegie Mellon University и ряда американских университетов представили результаты исследования, вызвавшего резонанс в научном и криптографическом сообществе. Ими была обнаружена критическая уязвимость в операционной системе Android, получившая имя “Pixnapping” и зарегистрированная под идентификатором CVE-2025-48561. Данная уязвимость позволяет злоумышленникам поэтапно реконструировать экранное содержимое Android-устройств и тем самым извлекать конфиденциальную визуальную информацию, включая приватные ключи, seed-фразы, а также одноразовые коды 2FA-аутентификации из приложений наподобие Google Authenticator.
Угроза, выявленная исследователями, основана на глубоком взаимодействии программных и аппаратных слоёв Android — от системных API до механизма графической компрессии GPU. Pixnapping сочетает методы побочного канала GPU.zip с легитимным использованием Android Intents и window blur API, что позволяет скрытно восстанавливать изображение экрана по пикселям. Такой подход превращает стандартный смартфон в источник потенциальной утечки ключевой информации, используемой для управления цифровыми активами, включая Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), XRP и другие криптовалюты.
Опасность состоит в том, что пользователю не требуется предоставлять атакующему никаких разрешений — вредоносное приложение может работать в фоновом режиме, оставаясь невидимым для системы безопасности Android. В результате злоумышленник способен получить визуальный доступ к seed-фразам во время резервного копирования кошелька или вывода средств, что фактически приравнивается к полному контролю над криптоактивами жертвы.
Совокупность подобных угроз — от атак класса Pixnapping до аппаратных утечек по каналам Rowhammer, Spectre, Meltdown и производных им side-channel методов — подчёркивает необходимость пересмотра стратегий безопасности на стыке мобильных операционных систем и финансовых технологий. Каждая новая уязвимость, подобная CVE-2025-48561, демонстрирует, насколько хрупким может быть баланс между удобством мобильного доступа к криптовалютам и обеспечением фундаментальной криптографической надёжности.
Архитектура и техническая структура Bitcoin-транзакции с OP_RETURN
Декодированная транзакция 816760531f334651d711909a93a5959e74b3dbe126f50dbb6efb3e7d61f224ba представляет собой документированное свидетельство исследовательской работы, зафиксированное в неизменяемом реестре блокчейна Bitcoin. Структурный анализ RawTX демонстрирует классическую архитектуру Bitcoin-транзакции версии 1, содержащую критически важный элемент — поле OP_RETURN с встроенным URL-адресом, указывающим на исследование атаки Pixnapping.
https://github.com/zoeir/Bitcoin-Message-Transaction
Декомпозиция транзакционной структуры:
Транзакция использует один вход (UTXO) из предыдущей транзакции и создает три выхода: первый выход с нулевым значением содержит OP_RETURN-сообщение (77 байт данных), второй выход передает 1000 сатоши (0.00001 BTC) на адрес получателя 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr, третий выход возвращает сдачу в размере 22500 сатоши на адрес отправителя 1G84gkhBsBM9B5Xsqw2s9b6H1oqg4nPEiW. Комиссия транзакции составляет 1000 сатоши, что обеспечивает приоритетную обработку майнерами сети.
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
Криптографическая подпись и аутентификация:
Поле ScriptSig длиной 138 байт содержит ECDSA-подпись на основе кривой secp256k1, подтверждающую владение приватным ключом отправителя. Это подтверждает легитимность транзакции и предотвращает несанкционированное расходование средств. Декодированное сообщение в OP_RETURN: «www.bitcoinmessage.ru/Source_Code/Pixnapping_Attack_to_Extract_Private_Keys« служит постоянным маркером в блокчейне, связывающим транзакцию с научным исследованием критической уязвимости.
www.bitcoinmessage.ru/Source_Code/Pixnapping_Attack_to_Extract_Private_KeysАнатомия атаки Pixnapping: многоуровневая эксплуатация Android-инфраструктуры
CVE-2025-48561 представляет собой критическую уязвимость высокой степени серьезности, обнаруженную исследовательской группой из University of California Berkeley, UC San Diego, University of Washington и Carnegie Mellon University в феврале 2025 года. Атака Pixnapping демонстрирует фундаментальное нарушение модели безопасности Android, позволяя произвольному приложению без каких-либо специальных разрешений выполнять побитовую реконструкцию визуального контента других приложений.
Техническая архитектура уязвимости
Фундаментальные основы атаки
Pixnapping использует комбинацию Android API и аппаратного side-channel GPU.zip для извлечения визуальной информации с экранов устройств. Атака эксплуатирует три ключевых механизма Android: возможность отправлять активности других приложений в конвейер рендеринга через Android Intents, выполнение графических операций (blur) на пикселях других приложений и измерение побочных эффектов этих операций, зависящих от цвета пикселей.cylab.cmu+2
GPU.zip Side Channel
В основе Pixnapping лежит уязвимость GPU.zip, обнаруженная той же исследовательской группой в 2023 году. Эта атака эксплуатирует аппаратную компрессию графических данных в современных GPU, которая является зависимой от данных, программно прозрачной и присутствует почти во всех современных графических процессорах.cylab.cmu+2
Компрессия графических данных — это оптимизация в интегрированных GPU (iGPU), позволяющая экономить пропускную способность памяти и улучшать производительность при рендеринге кадров. Атака GPU.zip позволяет вредоносному веб-сайту извлекать пиксели из iframe’ов в последней версии Google Chrome, нарушая модель безопасности браузера.hertzbleed+1
Архитектура системы Android
Архитектура уязвимости Pixnapping и взаимодействие компонентов Android системы
Pixnapping использует SurfaceFlinger — системный процесс Android, отвечающий за отображение и компоновку графических элементов. Злоумышленное приложение использует Android Intents для запуска целевых приложений, заставляя их отображать конфиденциальную информацию на экране. Затем создается «masking activity» — полупрозрачное наложение, которое скрывает целевое приложение, оставляя прозрачным только один выбранный пиксель.bleepingcomputer+1
Методология атаки и технические детали
Трехэтапный процесс Pixnapping
Атака Pixnapping выполняется в три основных этапа, каждый из которых использует специфические Android API и системные вызовы:pixnapping+1
Этап 1: Вызов целевого приложения
Злоумышленное приложение использует Android Intents для вызова экспортированных активностей целевых приложений, таких как Google Authenticator или Signal. Этот процесс заставляет конфиденциальную информацию (2FA коды, seed-фразы) отображаться на экране и передаваться в конвейер рендеринга SurfaceFlinger.bleepingcomputer+1
Этап 2: Индукция графических операций
На этом этапе создается стек полупрозрачных Android Activities, которые используют методы маскировки, увеличения и кодирования для работы с индивидуальными пикселями жертвы. Атака использует Android window blur API для выполнения графических операций на пикселях и VSync callbacks для измерения времени рендеринга с достаточной точностью для извлечения значений отдельных пикселей.theregister+2
Этап 3: Извлечение через side channel
Заключительный этап использует side channel GPU.zip для кражи пикселей, обрабатываемых на этапе 2, по одному пикселю за раз. Измеряя различия во времени рендеринга, вызванные оптимизациями GPU, зависящими от паттернов, такими как компрессия графических данных, атака может определить информацию о цвете пикселей.gbhackers+1
Технические детали window blur API
Android window blur API, доступный с Android 12, предоставляет возможности для реализации эффектов размытия окон. Существует два типа размытия окон: background blur (создает эффект матового стекла) и blur behind (размывает весь экран за окном).source.android
Pixnapping злоупотребляет этими API следующим образом:
// Example code used in the attack (conceptual)
window.setBackgroundBlurRadius(blurRadius);
window.addFlags(WindowManager.LayoutParams.FLAG_BLUR_BEHIND);
WindowManager.LayoutParams.setBlurBehindRadius(blurRadius);
Атака создает полупрозрачные активности с использованием windowIsTranslucent и управляет альфа-каналом фонового drawable для изоляции отдельных пикселей.source.android
VSync Callbacks и измерение времени
Для точного измерения времени рендеринга Pixnapping использует VSync callbacks. VSync (вертикальная синхронизация) — это сигнал, который синхронизирует частоту кадров с частотой обновления дисплея. В Android это реализуется через Choreographer.VsyncCallback.blurbusters+1
// Conceptual example of using VSync callbacks
Choreographer.getInstance().postVsyncCallback(new Choreographer.VsyncCallback() {
@Override
public void onVsync(long frameTimeNanos) {
// Measuring time to extract pixel color
measureRenderingTime(frameTimeNanos);
}
});
Результаты тестирования и эффективность атаки
Тестирование на устройствах
Исследователи протестировали Pixnapping на пяти устройствах, работающих под управлением Android версий 13-16:cylab.cmu+1
Результаты тестирования уязвимости Pixnapping на различных Android устройствах
Наиболее эффективной атака оказалась на Google Pixel 6 с успешностью восстановления 2FA кодов в 73% случаев. Samsung Galaxy S25 продемонстрировал устойчивость к атаке из-за «значительного шума» в сигнале.bleepingcomputer+1
Время извлечения секретных данных
Оптимизированная версия атаки способна извлекать 6-значные 2FA коды из Google Authenticator менее чем за 30 секунд. Это время укладывается в стандартный 30-секундный период валидности TOTP кодов, делая атаку практически применимой.cylab.cmu+2
Для извлечения более сложных данных требуется больше времени:
- Google Maps Timeline: 20-27 часов для ~54,264-60,060 пикселейbleepingcomputer
- Venmo account balance: 3-5 часов для ~7,473-11,352 пикселейbleepingcomputer
- Google Messages SMS: 11-20 часов для ~35,500-44,574 пикселейbleepingcomputer
- Signal private messages: 25-42 часа для ~95,760-100,320 пикселейbleepingcomputer
Эффективность против криптовалютных кошельков
Особую угрозу Pixnapping представляет для пользователей криптовалют. Seed-фразы кошельков остаются видимыми на экране дольше, чем временные 2FA коды, что делает их уязвимыми для пиксельного извлечения. Хотя восстановление полной 12-словной seed-фразы потребует значительного времени, атака остается жизнеспособной, если пользователь оставляет фразу видимой при ее записи.currently.att.yahoo+3
Видеоматериалы и демонстрации
Официальные демонстрации:
Исследователи предоставили несколько видеоматериалов для демонстрации атаки Pixnapping:
1. Основная демонстрация Pixnapping
- URL: https://www.youtube.com/watch?v=USZ54X6Qw5E
- Описание: Официальная демонстрация атаки, показывающая процесс извлечения 2FA кодов из Google Authenticator в реальном времени. Видео иллюстрирует три этапа атаки и демонстрирует восстановление 6-значного кода менее чем за 30 секунд.
2. Техническая демонстрация от Tweakers
- URL: https://www.youtube.com/watch?v=1YKeIVqUuik
- Описание: Подробная техническая демонстрация атаки Pixnapping на голландском языке. Видео показывает практические аспекты реализации атаки и объясняет технические детали взаимодействия с Android API.
Презентация на ACM CCS 2025
Результаты исследования были официально представлены на 32-й Конференции ACM по компьютерной и коммуникационной безопасности (ACM CCS 2025) в Тайбэе, Тайвань, 13-17 октября 2025 года. Презентация включала детальный анализ технических аспектов атаки и демонстрацию практических примеров.cylab.cmu+2
Реальные примеры и случаи применения
По состоянию на октябрь 2025 года, Google и исследователи не обнаружили доказательств использования уязвимости Pixnapping в реальных условиях. Google заявил: «Мы не видели никаких доказательств эксплуатации в дикой природе». Однако это не исключает возможности тайного использования техники злоумышленниками.bleepingcomputer+1
Потенциальные сценарии атак
Исследователи выделили несколько потенциальных сценариев применения уязвимости:
1. Кража 2FA кодов
Наиболее практичный сценарий включает кражу временных кодов аутентификации из Google Authenticator, Authy и других приложений 2FA. Злоумышленник может использовать украденные коды для обхода двухфакторной аутентификации и получения несанкционированного доступа к аккаунтам жертвы.cylab.cmu+1
2. Компрометация криптовалютных кошельков
Особо опасным является сценарий кражи seed-фраз Bitcoin и других криптовалютных кошельков. Если пользователь отображает свою seed-фразу на экране для записи или проверки, злоумышленное приложение может постепенно извлечь всю фразу, получив полный контроль над кошельком.currently.att.yahoo+2
3. Перехват частной переписки
Атака может использоваться для извлечения сообщений из зашифрованных мессенджеров, таких as Signal, даже при включенной функции Screen Security. Это представляет серьезную угрозу для пользователей, полагающихся на безопасность end-to-end шифрования.bleepingcomputer+1
Связь с существующими Android Malware
Хотя специфические образцы Malware, использующие Pixnapping, не были обнаружены, техника может быть интегрирована в существующие семейства Android троянов. Например, Malware семейства SpyAgent уже использует распознавание изображений для кражи мнемонических ключей, и добавление возможностей Pixnapping могло бы значительно расширить его возможности.currently.att.yahoo+1
Криптоанализ кода и технических аспектов
Структура злоумышленного приложения
Злоумышленное приложение для выполнения Pixnapping не требует объявления каких-либо разрешений в Android manifest файле. Это делает его неотличимым от безвредных приложений при проверках безопасности в магазинах приложений.pixnapping+1
Базовая структура манифеста:
xml:
<manifest xmlns:android="http://schemas.android.com/apk/res/android">
<application>
<activity android:name=".MaliciousActivity">
<!-- Without declaring any permissions -->
</activity>
</application>
</manifest>
Реализация Intent-based активации
Ключевой компонент атаки — использование Android Intents для запуска целевых приложений:
java:
// Conceptual example of target application activation code
Intent intent = new Intent();
intent.setAction("com.google.android.apps.authenticator2.AUTHENTICATE");
intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
startActivity(intent);
Исследователи проанализировали почти 100,000 приложений в Google Play Store и обнаружили сотни тысяч вызываемых действий через Android Intents, указывая на широкую применимость атаки.bleepingcomputer
Алгоритм извлечения пикселей
Процесс извлечения отдельных пикселей включает создание полупрозрачных активностей с специфической конфигурацией:
java:
// Conceptual example of creating a masking activity
Window window = getWindow();
WindowManager.LayoutParams params = window.getAttributes();
params.alpha = 0.99f; // Almost fully transparent
params.flags |= WindowManager.LayoutParams.FLAG_NOT_TOUCHABLE;
window.setAttributes(params);
// Setting blur to induce graphical operations
window.setBackgroundBlurRadius(20);
OCR и восстановление секретных данных и ответные меры и попытки устранения
После извлечения пикселей применяется техника, аналогичная оптическому распознаванию символов (OCR), для восстановления исходного содержимого. Алгоритм анализирует паттерны извлеченных пикселей и восстанавливает символы и цифры.pixnapping+1
Первоначальный патч Google
Google впервые попытался устранить уязвимость в сентябрьском обновлении безопасности Android 2025 года, ограничив количество активностей, на которые приложение может вызвать размытие. Компания отметила в бюллетене безопасности: «Приложение, запрашивающее множество размытий: (1) позволяет кражу пикселей путем измерения времени размытия между окнами, (2) вероятно, не является валидным».bleepingcomputer+2
Обход первоначального патча
Исследователи быстро обнаружили обходной путь, который восстановил эффективность атаки, изменив временные характеристики. Этот обход все еще находится под эмбарго и не был публично раскрыт.pixnapping+2
Планируемые исправления
Google разрабатывает более комплексный патч, который будет выпущен в декабрьском бюллетене безопасности Android 2025 года. Однако исследователи отмечают, что эффективное исправление Pixnapping потребует изменений в основных механизмах Android, например, позволяя приложениям предотвращать наложение других приложений на их конфиденциальный контент.cylab.cmu+2
Проблема GPU.zip
Фундаментальная проблема заключается в том, что лежащий в основе side channel GPU.zip остается неисправленным. По состоянию на октябрь 2025 года, ни один производитель GPU не взял на себя обязательство исправить GPU.zip. Это означает, что даже с патчами Android, аппаратная уязвимость остается доступной для новых методов атак.pixnapping+1
Ответ Samsung
Samsung был уведомлен об уязвимости и предупрежден, что патч Google недостаточен для защиты устройств Samsung. Компания признала проблему, но отметила ее как «низкой важности» из-за аппаратной сложности.currently.att.yahoo+2
Рекомендации по защите и митигации
Рекомендации для пользователей
1. Своевременные обновления
Основная рекомендация исследователей — устанавливать патчи Android как можно быстрее после их выпуска. Пользователи должны включить автоматические обновления безопасности и регулярно проверять наличие новых патчей.cylab.cmu+1
2. Использование аппаратных кошельков
Для пользователей криптовалют наиболее эффективной защитой является использование аппаратных кошельков. Аппаратные кошельки хранят приватные ключи и seed-фразы в автономном режиме, исключая возможность их компрометации через экранные атаки.tradingview+1
3. Избегание отображения конфиденциальной информации
Пользователям рекомендуется избегать отображения seed-фраз или других особо конфиденциальных данных на устройствах, подключенных к интернету. При необходимости записи seed-фразы следует использовать автономные устройства.currently.att.yahoo+1
Рекомендации для разработчиков
1. Защита от наложений
Разработчики могут реализовать защиту от наложений, обнаруживая когда другие приложения пытаются создать полупрозрачные слои поверх их приложений. Это можно сделать с помощью WindowManager.LayoutParams.FLAG_SECURE.bitdefender
2. Минимизация времени отображения
Критически важная информация должна отображаться на экране минимальное время. Например, 2FA коды можно автоматически скрывать через короткие интервалы.bitdefender
3. Обнаружение аномальной активности
Приложения могут отслеживать аномальные паттерны активности, такие как частые вызовы blur API или необычное поведение с наложениями.bitdefender
Системные решения
1. Усиление разрешений
Android может потребовать специальные разрешения для доступа к blur API и другим графическим операциям, которые могут быть использованы в атаках.cylab.cmu
2. Изоляция приложений
Усиление изоляции между приложениями может предотвратить доступ к пикселям других приложений через графические операции.bitdefender
3. Аппаратные решения
Долгосрочное решение может потребовать изменений на уровне GPU для устранения side channel GPU.zip.pixnapping+1
Конвергенция аппаратных и программных угроз в криптографической безопасности
В контексте атаки Pixnapping (CVE-2025-48561), которая эксплуатирует программно-аппаратные механизмы Android для визуального перехвата seed-фраз и приватных ключей, критически важно рассмотреть дополнительный вектор атаки, действующий на более фундаментальном аппаратном уровне. Атака Phoenix Rowhammer (CVE-2025-6202) представляет собой новое поколение эксплуатации физических свойств памяти DRAM, позволяющее злоумышленникам манипулировать индивидуальными битами данных в оперативной памяти DDR5, включая критически важные криптографические структуры данных Bitcoin-кошельков.github+4
Совместное исследование Computer Security Group (COMSEC) ETH Zürich и Google, опубликованное в сентябре 2025 года, продемонстрировало, что DDR5 память от SK Hynix — крупнейшего производителя DRAM в мире — остается уязвимой к атакам класса Rowhammer, несмотря на внедрение продвинутых механизмов защиты Target Row Refresh (TRR). Phoenix представляет собой первую систем-level Rowhammer-атаку, способную обходить все современные TRR-схемы, развернутые в DDR5-устройствах, используя революционную технику самокорректирующейся синхронизации (self-correcting synchronization).linkedin+7
Фундаментальные физические основы феномена Rowhammer
Rowhammer представляет собой аппаратную уязвимость в Dynamic Random-Access Memory (DRAM), возникающую из-за физических ограничений современной технологии производства микросхем памяти. С уменьшением технологических норм производства DRAM (переход к 10 нм, 7 нм и меньше), физическое расстояние между отдельными ячейками памяти значительно сокращается, что приводит к усилению электромагнитных помех между соседними строками (rows) памяти.kaspersky+6
Механизм индукции битовых флипов:
Каждая ячейка DRAM представляет собой конденсатор, хранящий электрический заряд, соответствующий логическому значению 0 или 1. Для чтения или записи данных в определенную строку памяти необходимо выполнить операцию ACTIVATE, которая поднимает уровень напряжения целевой строки (aggressor row/target row) до высокого уровня, в то время как соседние строки (victim rows) остаются на низком уровне напряжения. Многократное быстрое активирование одной и той же строки памяти создает электромагнитную интерференцию, которая ускоряет разрядку конденсаторов в соседних строках, потенциально приводя к спонтанным изменениям значений битов (bit flips) до выполнения очередного цикла обновления (refresh).tomshardware+6
Математическая модель деградации заряда:
Исследования показывают, что вероятность битового флипа PflipP_{flip}Pflip в victim row зависит от количества активаций aggressor row NactN_{act}Nact, времени между refresh-операциями tREFt_{REF}tREF, и расстояния между ячейками dcelld_{cell}dcell:
где VaggrV_{aggr}Vaggr — напряжение активации aggressor row. Современные DDR5 модули требуют refresh-команд каждые 3.9 мкс в среднем по умолчанию, что в два раза чаще, чем DDR4, именно для противодействия усиливающемуся эффекту Rowhammer.arxiv+4
Эволюция механизмов защиты Target Row Refresh и их критические недостатки
DDR4 TRR: первое поколение защиты
Начиная с DDR4, производители DRAM внедрили механизм Target Row Refresh (TRR) — набор аппаратных счетчиков и логических схем, интегрированных непосредственно в чипы DRAM для обнаружения подозрительных паттернов доступа к памяти. TRR работает на основе двух ключевых параметров: Maximum Activate Count (MAC) — максимальное количество активаций строки, и Maximum Activate Window (t~MAW~) — временное окно, в течение которого подсчитываются активации.csdn+4youtube
Когда количество активаций определенной строки достигает порога MAC в течение временного окна t~MAW~, TRR автоматически инициирует refresh-операцию для соседних victim rows, предотвращая битовые флипы. Однако исследование TRRespass (2020 год) продемонстрировало критическую уязвимость этой схемы: TRR-механизм использует сэмплирование (sampling) — мониторинг только ограниченного подмножества строк памяти, а не всех строк одновременно. Атака Many-sided Rowhammer эксплуатирует эту ограниченность, одновременно активируя множество aggressor rows (до 19 в некоторых случаях), что перегружает механизм сэмплирования TRR и позволяет «незаметным» строкам продолжать hammering без противодействия со стороны refresh-операций.usenix+4youtube
DDR5 Enhanced TRR: усиленная защита второго поколения
DDR5 представил значительно улучшенные in-DRAM TRR-схемы с более сложными алгоритмами обнаружения и противодействия. Производители внедрили более частые refresh-команды (каждые 3.9 мкс вместо 7.8 мкс в DDR4), встроенный on-die Error Correction Code (ECC), и более продвинутые механизмы отслеживания активаций. До публикации Phoenix в сентябре 2025 года считалось, что DDR5 демонстрирует повышенную устойчивость к Rowhammer-атакам в производственных условиях, и «неожиданно, DDR5 достигает этого без дополнительных команд управления refresh».comsec-files.ethz+5
Техническая архитектура атаки Phoenix: преодоление барьера DDR5
Проблема синхронизации и самокорректирующийся механизм
Ключевое открытие исследователей ETH Zürich заключается в том, что современные state-of-the-art методы синхронизации регулярно пропускают refresh-команды, делая их непригодными для эффективных Rowhammer-атак на DDR5. Phoenix решает эту проблему через две революционные техники:securityweek+2
Первая техника: разделение потоков. Hammering-доступы и синхронизационные доступы разделяются на различные потоки выполнения для улучшения детектирования refresh-операций. Несмотря на улучшение по сравнению со state-of-the-art, этот подход все еще не способен поддерживать синхронизацию на достаточно большом количестве refresh-интервалов, что препятствует индукции битовых флипов.github+1
Вторая техника: самокорректирующаяся синхронизация (self-correcting synchronization). Вместо попытки предотвратить пропуск refresh-команд, Phoenix детектирует пропущенный refresh и соответствующим образом пересинхронизирует выполнение паттерна. Эта техника позволяет Phoenix оставаться синхронизированным с refresh-командами на протяжении целых refresh windows, что достаточно для индукции битовых флипов новыми паттернами.security.googleblog+4
Математическая модель самокорректирующейся синхронизации:
Обход TRR через эксплуатацию blind spots
Phoenix эксплуатирует «слепые пятна» (blind spots) в механизме TRR — временные и пространственные окна, где мониторинг активаций строк ослаблен. Исследователи обнаружили, что TRR-сэмплер должен последовательно сэмплировать доступы к одному и тому же набору строк, позволяя (не-сэмплируемым) доступам к другим строкам продолжать hammering без вмешательства TRR refresh-операций. Phoenix синхронизирует паттерны доступа с refresh-командами таким образом, чтобы victim rows находились вне зоны активного мониторинга TRR в критические моменты времени.vusec+7
Экспериментальная валидация и критические результаты
Тестовая конфигурация и затронутые устройства
Исследователи ETH Zürich протестировали Phoenix на 15 DDR5 UDIMM модулях производства SK Hynix, выпущенных в период с 2021 по 2024 годы. Все тестированные устройства продемонстрировали уязвимость к Phoenix, с успешной индукцией битовых флипов в течение секунд на каждом модуле. Тестирование проводилось на платформе с процессором AMD Zen 4 и специализированными FPGA-based Rowhammer test platforms, разработанными совместно с Antmicro.theregister+8
Уязвимость CVE-2025-6202 зарегистрирована с базовым CVSS-скором 7.1 (High severity). Vulnerability description: «Vulnerability in SK Hynix DDR5 on x86 allows a local attacker to trigger Rowhammer bit flips impacting the Hardware Integrity and the system’s security. This issue affects DDR5: DIMMs produced from 2021-1 until 2024-12».thehackernews+5
Список затронутых AMD-процессоров с поддержкой DDR5:amd
AMD EPYC 8004, 9004, 9005 Series Processors; AMD EPYC 9004, 9005 Embedded Series; AMD Ryzen 6000, 7000, 7035, 7040, 7045, 8000, 8040, 9000 Series; AMD Ryzen 9000HX Series; AMD Ryzen AI 300, AI Max 300 Series; AMD Ryzen Threadripper 7000, 9000; AMD Ryzen Embedded 7000, 8000, 9000 Series.amd
Практические сценарии атак и временные характеристики
Исследователи продемонстрировали три end-to-end сценария эксплуатации Phoenix:techradar+5
1. Манипуляция Page Table Entries (PTE) для privilege escalation: Phoenix успешно выполняет битовые флипы в Page Table Entries с 100% успешностью, получая несанкционированный доступ к запрещенным областям памяти. Это позволяет локальному атакующему без привилегий модифицировать собственную page table, получая read-write доступ ко всей физической памяти системы.pmc.ncbi.nlm.nih+4
2. Извлечение SSH-ключей из виртуальных машин: Phoenix демонстрирует 73% вероятность успешного извлечения RSA-2048 приватных SSH-ключей из сопутствующей (co-located) виртуальной машины на том же физическом сервере. Это критическая угроза для cloud computing environments, где множество VM разделяют одну и ту же физическую память.kaspersky+5
3. Эскалация привилегий до root через манипуляцию sudo binary: Phoenix достигает 33% вероятности получения root-доступа через манипуляцию in-memory binary утилиты sudo. Полная privilege escalation до root на commodity system с настройками по умолчанию достигается приблизительно за 109 секунд (менее 2 минут).linkedin+5
Криптографические импликации: экстракция ECDSA приватных ключей через битовые флипы
Теоретические основы атаки на ECDSA через fault injection
Elliptic Curve Digital Signature Algorithm (ECDSA) является фундаментальным криптографическим примитивом в Bitcoin, обеспечивающим аутентификацию транзакций и подтверждение владения цифровыми активами. Приватный ключ в ECDSA представляет собой скалярное значение ddd (256 бит для secp256k1), из которого вычисляется публичный ключ Q=d⋅GQ = d \cdot GQ=d⋅G, где GGG — базовая точка эллиптической кривой.digital.wpi+7
ECDSA signature structure:
Для сообщения mmm с хешем h=H(m)h = H(m)h=H(m), подпись состоит из пары (r,s)(r, s)(r,s), где:
где kkk — случайный nonce, nnn — порядок группы точек кривой secp256k1.securityboulevard+4
Fault injection attack через Rowhammer-индуцированные битовые флипы
Исследование Rubber Mallet (arXiv:2505.01518, май 2025) продемонстрировало, что продвинутые Rowhammer-техники способны индуцировать множественные соседние битовые флипы (adjacent bit flips) с значительно более высокой частотой, чем ранее документировано. Критически важно, что эти коррелированные флипы позволяют эффективные атаки криптографической signature correction, демонстрируя, как такие флипы могут обеспечить восстановление ECDSA приватных ключей из OpenSSL-имплементаций, где single-bit подходы были бы неосуществимы.arxiv+2
Механизм bit-flipping attack на приватный ключ:
Предположим, злоумышленник может индуцировать битовый флип в least significant bit (LSB) приватного ключа ddd, хранящегося в RAM перед операцией подписи. Битовый флип в LSB приведет к одному из двух исходов:trailofbits+2
Случай 1: Бит 0 → 1, что эквивалентно d′=d+1d’ = d + 1d′=d+1
Случай 2: Бит 1 → 0, что эквивалентно d′=d−1d’ = d — 1d′=d−1
Подпись, созданная с модифицированным ключом d′d’d′, может быть верифицирована с использованием модифицированного публичного ключа:
Атакующий генерирует подпись с флипнутым приватным ключом, затем проверяет верификацию подписи используя Q+GQ + GQ+G и Q−GQ — GQ−G. Если подпись верифицируется с Q+GQ + GQ+G, то исходный бит был 0; если с Q−GQ — GQ−G, то бит был 1. Повторяя этот процесс для других битовых позиций (флипая биты на позициях 20,21,22,…,22552^0, 2^1, 2^2, …, 2^{255}20,21,22,…,2255 и проверяя с Q±2i⋅GQ \pm 2^i \cdot GQ±2i⋅G), атакующий может побитово реконструировать весь приватный ключ ddd.arxiv+5
Экспериментальная демонстрация на OpenSSL ECDSA
В работе Kwong et al. (arXiv:2505.01518) исследователи успешно продемонстрировали end-to-end экстракцию ECDSA приватного ключа из OpenSSL implementation через Rowhammer bit-flipping. Эксперименты проводились на нескольких DDR4 DRAM-конфигурациях (Corsair Vengeance, G.SKILL Ripjaws) с использованием TRRespass и BlackSmith Rowhammer tools. Критически важным открытием является высокая частота localized bit flips — множественные битовые флипы, кластеризующиеся в одном и том же DRAM row.arxiv+2
Digital.wpi.edu исследование Rahman et al. (2023) продемонстрировало атаку на ECDSA secret key recovery в Samsung M378B5773DH0-2GB DRAM через fault injection в TLS-сервер. Исследователи инициировали 29,918 соединений к серверу, инжектируя faults в server memory, и успешно собрали faulty signatures для восстановления приватного ключа. Несмотря на то, что размер ECDSA-ключа 256 бит значительно меньше размера страницы памяти 32,768 бит (большинство флипнутых битов находятся вне ключа), атака все равно успешна при достаточном количестве попыток.digital.wpi
Импликации для Bitcoin-кошельков: сценарии компрометации приватных ключей
Хранение приватных ключей в RAM и векторы атаки
Bitcoin-кошельки, как программные, так и частично аппаратные, неизбежно загружают приватные ключи в оперативную память при выполнении критических операций: signing transactions, wallet initialization, key derivation from seed phrases, decrypting wallet.dat files. Даже при использовании AES-256-CBC шифрования для защиты wallet.dat (как в Bitcoin Core), приватный ключ должен быть временно расшифрован и размещен в RAM для подписания транзакции.cryptodeeptech+6
Threat model для Rowhammer-атак на Bitcoin-кошельки:
Сценарий 1: Локальный атакующий на desktop system. Злоумышленник запускает вредоносное приложение на том же компьютере, что и Bitcoin-кошелек жертвы. Вредоносный процесс индуцирует Rowhammer bit flips в memory regions, где Bitcoin Core или другой кошелек хранит расшифрованные приватные ключи во время signing операций. Phoenix продемонстрировал возможность читать и записывать произвольные данные из памяти с высокой точностью на DDR5 systems.github+9
Сценарий 2: Cloud/VPS co-location attack. Множество пользователей Bitcoin-узлов и кошельков размещают свои сервисы на виртуальных приватных серверах (VPS) в облачных платформах. Phoenix продемонстрировал 73% вероятность извлечения RSA-2048 SSH-ключей из co-located VM. Аналогичная атака может целиться на Bitcoin private keys, хранящиеся в памяти VM, запускающей Bitcoin Core node или другие wallet services.tomshardware+5
Сценарий 3: Rowhammer на Android devices для Bitcoin mobile wallets. Комбинация Pixnapping (CVE-2025-48561) и потенциальных Rowhammer-вариантов для мобильных LPDDR4/LPDDR5 создает многоуровневую угрозу. Хотя Phoenix специфичен для desktop DDR5, исследования показывают, что LPDDR4 также включает TRR-механизмы и потенциально уязвим к адаптированным Rowhammer-атакам.wikipedia+1
Математическая модель извлечения Bitcoin private key через bit flips:
Предположим, Bitcoin private key ddd размером 256 бит хранится в памяти по адресу AkeyA_{key}Akey. Rowhammer-атакующий может индуцировать bit flip в бите iii (где 0≤i≤2550 \le i \le 2550≤i≤255), модифицируя ключ до d′=d⊕2id’ = d \oplus 2^id′=d⊕2i (XOR с 2i2^i2i). Для восстановления исходного ключа, атакующий собирает множество faulty signatures {(rj,sj)}\{(r_j, s_j)\}{(rj,sj)}, каждая созданная с различным bit-flipped вариантом ключа dj′d_j’dj′.
Используя lattice attack методы (например, Hidden Number Problem solver), атакующий может восстановить ddd с вероятностью успеха:
где PflipP_{flip}Pflip — вероятность успешного флипа нужного бита, NsamplesN_{samples}Nsamples — количество собранных faulty signatures.pmc.ncbi.nlm.nih+3
Инструменты и методологии для исследования Rowhammer-атак на криптовалюты
ATTACKSAFE SOFTWARE и rowhammer_attack tool
В экосистеме инструментов безопасности криптовалют существуют специализированные программы для анализа уязвимостей, связанных с Rowhammer. GitHub repository demining/Rowhammer-Attack демонстрирует практическое применение Signature Fault Differential Analysis для ECDSA с целью деривации приватного ключа из транзакций пяти различных Bitcoin-кошельков.github
Практический пример использования:
./attacksafe -tool rowhammer_attack -open RawTX.txt -save SecretKey.txt
Инструмент анализирует RawTX Bitcoin-транзакции и извлекает ECDSA signature parameters (r,s)(r, s)(r,s). При обнаружении паттерна, индицирующего faulty signature или nonce reuse, инструмент применяет cryptanalytic techniques для восстановления secret key KKK (nonce) или приватного ключа ddd.github
Пример успешного извлечения:github
Deployments ECDSA:
SecretKey = 0xe5fa9dccef88781e25e77bd1ea7830c0b33c57481b79007cda117da8139ea7c3
RawTX = 010000000104118e34a0d3c06c842d14707ed5f333d3ba1d35240086a4b5738a2fa810abec1d0000006a473044022004b1d0c7d278439811c27d9ff06b3bb0fd20d5cc90d97083266bdba7d0693bb20220282c6cea6b9ad6f4633596204ebad4716e2a086090faf62a6908bf63a1724ad501210335a395eca8191c43ccee4d91e98b9baef39476d7482cf636e5b71975c69feebdffffffff014e020000000000001976a914154813f71552c59487efa3b16d62bfb009dc5f1e88ac00000000
Надпись «Deployments ECDSA» индицирует критическую уязвимость в Bitcoin blockchain transaction. Secret key «K» в HEX-формате представляет nonce, использованный при генерации подписи.github
Open-source FPGA-based Rowhammer test platforms
Google и ETH Zürich разработали специализированные open-source FPGA-based тестовые платформы для анализа DDR5 Rowhammer-уязвимостей. В партнерстве с Antmicro были созданы две платформы:security.googleblog
DDR5 RDIMM Platform: Новая DDR5 Tester board для тестирования Registered DIMM (RDIMM) памяти, распространенной в серверных компьютерах.security.googleblog
SO-DIMM Platform: Версия, поддерживающая стандартный SO-DIMM pinout, совместимый с off-the-shelf DDR5 SO-DIMM memory sticks, распространенными в workstations и end-user devices.security.googleblog
Эти платформы доступны на GitHub (comsec.ethz.ch/phoenix) и позволяют исследователям безопасности проводить детальный анализ Rowhammer-susceptibility различных DRAM-конфигураций.comsec.ethz+1
Методы противодействия и ограничения защиты
Увеличение refresh rate: компромисс между безопасностью и производительностью
Исследователи Phoenix рекомендуют увеличение refresh rate в 3 раза (с 3.9 мкс до ~1.3 мкс) как эффективную меру противодействия. Однако это приводит к падению производительности на 8.4%, что представляет существенные trade-offs для производственных систем. Критически важно, что DRAM devices не могут быть пропатчены через firmware updates — аппаратная природа уязвимости означает, что затронутые модули останутся уязвимыми в течение всего их жизненного цикла.techradar+5
Ограниченная эффективность ECC и on-die ECC
Phoenix доказал, что on-die Error Correction Code (ECC), встроенный в DDR5, не останавливает Rowhammer. On-die ECC разработан для коррекции single-bit errors и некоторых multi-bit errors, возникающих из естественной деградации DRAM-ячеек. Однако Rowhammer может индуцировать множественные коррелированные bit flips в одном и том же memory region, превышая корректирующую способность ECC.reddit+7
Impossibility of retrospective hardware fixes
В отличие от программных уязвимостей, которые могут быть исправлены через security patches, Rowhammer представляет фундаментальную физическую проблему архитектуры DRAM. По состоянию на октябрь 2025 года ни один производитель GPU или DRAM не взял обязательства по устранению аппаратной уязвимости на уровне chip design. Это означает, что миллиарды устройств, использующих затронутую память, останутся потенциально уязвимыми в течение многих лет.pixnapping+12
Рекомендации по защите Bitcoin-активов от аппаратных атак класса Rowhammer
Многоуровневая стратегия безопасности для криптовалютных холдеров:
1. Аппаратные кошельки с изолированной памятью. Использование hardware wallets (Ledger, Trezor, BC Vault One) с ferroelectric RAM (FeRAM) или secure elements, которые изолируют приватные ключи от основной системной DRAM. BC Vault One использует FeRAM для хранения приватного ключа, обеспечивая физическую изоляцию от Rowhammer-атак на системную память.youtubeitnext+3
2. Избегание хранения больших сумм на hot wallets в системах с DDR5. Пользователи, запускающие Bitcoin Core или другие программные кошельки на системах с SK Hynix DDR5 (2021-2024), должны минимизировать exposure, перемещая основные активы в cold storage.github+3
3. Изоляция signing operations в air-gapped environments. Для высокозначимых транзакций использование offline signing на изолированных системах, которые никогда не подключаются к сети и не запускают непроверенный код.itnext+2
4. Регулярный аудит памяти и детектирование аномалий. Мониторинг системной памяти на предмет подозрительных access patterns, характерных для Rowhammer-атак (высокочастотные row activations, аномальные refresh patterns).pmc.ncbi.nlm.nih+3
5. Обновление до патченных систем при доступности. Хотя аппаратное исправление невозможно, future DDR5 chips (post-2024) могут включать улучшенные TRR-механизмы. Пользователи должны отслеживать security bulletins от производителей DRAM и обновлять hardware при выпуске более защищенных модулей.github+4
Заключение: конвергенция Pixnapping и Phoenix как системная угроза криптографической инфраструктуре
Комбинация атак Pixnapping (CVE-2025-48561) и Phoenix Rowhammer (CVE-2025-6202) демонстрирует критическую эволюцию ландшафта угроз криптовалютной безопасности. Pixnapping атакует программно-аппаратный уровень Android через GPU.zip side-channels и window blur API для визуального перехвата seed-фраз. Phoenix атакует фундаментальный физический уровень DRAM через индукцию электромагнитных помех, позволяя прямую манипуляцию битами криптографических ключей в памяти.bleepingcomputer+10
Обе атаки обходят традиционные программные меры защиты, эксплуатируя аппаратные характеристики устройств, которые не могут быть исправлены через software patches. Для Bitcoin-пользователей это означает необходимость фундаментального пересмотра threat model: криптографическая безопасность более не гарантируется только математической сложностью ECDSA или надежностью seed-фраз — физические свойства hardware становятся critical attack surface.arxiv+9
Восстановление приватных ключей потерянных Bitcoin-кошельков через эксплуатацию этих уязвимостей представляет как легитимную задачу recovery services, так и опасный вектор атаки для злоумышленников. Будущее криптовалютной безопасности требует holistic approach, интегрирующего hardware-level security assurances, formal verification cryptographic implementations, и continuous monitoring для emerging side-channel threats.trailofbits+7
Уязвимость Pixnapping представляет собой значительную эволюцию в области атак на мобильные устройства, демонстрируя как современные оптимизации производительности могут быть использованы против пользователей. Атака особенно опасна для пользователей криптовалют, поскольку компрометация seed-фразы может привести к полной потере средств.gbhackers
Фундаментальная природа эксплуатируемых уязвимостей — использование легитимных Android API и аппаратных оптимизаций GPU — указывает на то, что полное решение проблемы потребует скоординированных усилий от Google, производителей устройств и поставщиков GPU.pixnapping+1
Исследование Pixnapping подчеркивает критическую важность рассмотрения последствий безопасности при внедрении новых системных функций и аппаратных оптимизаций. По мере того, как мобильные устройства становятся основным инструментом для управления цифровыми активами, защита от таких сложных атак становится жизненно важной для безопасности экосистемы.
Ожидается, что декабрьский патч Google обеспечит более надежную защиту, но долгосрочное решение потребует фундаментальных изменений в архитектуре Android и, возможно, в аппаратном обеспечении GPU. До тех пор пользователи должны следовать рекомендациям по безопасности и особенно осторожно обращаться с криптовалютными активами на Android устройствах.
Таким образом, уязвимость Pixnapping (CVE-2025-48561) является не просто очередным примером программного дефекта, а демонстрацией принципиально нового класса атак, угрожающих основам криптографической безопасности цифровых активов. Исследование показало, что даже визуально неприкосновенные элементы пользовательского интерфейса Android могут стать источником критической утечки данных — от приватных ключей и seed-фраз до одноразовых 2FA-кодов, обеспечивающих защиту криптовалютных кошельков. По сути, каждый пиксель экрана становится слабым звеном в цепи криптографической аутентификации.
Особая опасность Pixnapping заключается в её незаметности и универсальности. Атака не требует привилегий, не вызывает подозрений у пользователя и способна реконструировать изображение экрана вплоть до отдельных пикселей, используя аппаратный побочный канал GPU.zip. Это превращает любое Android-устройство в потенциальный источник компрометации конфиденциальных данных, включая Bitcoin (BTC), Ethereum (ETH), XRP, Litecoin (LTC) и другие криптоактивы, хранящиеся в мобильных кошельках.
Факт, что данная атака работает даже с новейшими версиями Android и современными GPU, указывает на фундаментальный уязвимый слой архитектуры мобильных систем, где производительность и визуальные оптимизации вступают в конфликт с требованиями конфиденциальности. Pixnapping разрушает иллюзию визуальной изоляции приложений, демонстрируя, что защита криптографической информации должна учитывать не только сетевые и логические уязвимости, но и физико-графические побочные эффекты вычислений.
Для обеспечения устойчивости криптовалютной экосистемы необходимо принятие системных мер: ужесточение политики безопасности Android, ограничение доступа сторонних приложений к низкоуровневым графическим API и пересмотр архитектурных принципов компрессии данных в GPU. Без введения подобных барьеров даже самые надежные алгоритмы шифрования могут оказаться бессильны перед атаками, способными «снимать» ключи буквально с экрана.
В конечном счёте, Pixnapping стала серьёзным предупреждением для всей индустрии: криптографическая защита бессмысленна без аппаратной и визуальной изоляции. Если визуальные данные, отображаемые на дисплее, могут быть реконструированы посторонним процессом, то каждая экранная анимация, каждая надпись seed-фразы или QR-код становятся прямым каналом утечки средств. Для пользователей криптовалют это означает одно — даже мгновенное появление приватного ключа на экране теперь может стоить потери всего цифрового капитала.
References:
- Phantom Nonce: A Fatal ECDSA Vulnerability and Private Key Recovery for Lost Bitcoin Wallets. A critical ECDSA vulnerability as a signature attack threatens the security and value of the Bitcoin cryptocurrency. Phantom Nonce: A fatal attack on ECDSA signatures The basic idea of the attack:In a vulnerable ECDSA implementation (for example, in btcd, where immediate verification is not performed after signature…Read More
- Cryptographic Black Swan Attack: Recovering Private Keys to Lost Bitcoin Wallets via Nonce Reuse Attack Cryptographic Black Swan Attack The critical cryptographic vulnerability of nonce reuse in the ECDSA algorithm has proven to be a true Achilles heel for the Bitcoin ecosystem’s security. Even a…Read More
- Timing Phantom Attack: Recovering Private Keys for Lost Bitcoin Wallets: A Critical Vulnerability with the “Time Morse” Technique and the Threat of a Timing Side Channel Critical vulnerability of temporal collateral attack Timing Phantom Attack (timing side-channel attack) Bitcoin’s cryptographic operations represent one of the most dangerous and difficult-to-detect vectors for compromising private keys. Unlike classic…Read More
- Shadow Fingerprint Attack: A Critical Vulnerability in Recovering Private Keys to Lost Bitcoin Wallets via Elliptic Curve Timing Attacks (secp256k1) Critical Timing Attack Vulnerability: A Deadly Danger to the Security of Bitcoin, a Cryptocurrency Based on the Elliptic Curve secp256k1 The fundamental danger of the timing vulnerability, pointing out its…Read More
- Black Hole Key Compromise Attack: A critical vulnerability in recovering private keys for lost Bitcoin wallets and a global attack on cryptocurrency security and digital asset compromise. The Bitcoin private key leak vulnerability is a fundamental and potentially dangerous threat to the entire blockchain infrastructure. If a class attack is carried out, Black Hole Key Compromise Attack…Read More
- Shadows of Time Attack: A critical ECC timing vulnerability in Bitcoin, leading to private key recovery and the hacking of lost wallets Critical vulnerability related to non-constant execution time of operations and Shadows of Time Attack: (Side-channel Timing Attacks) Poses an existential threat to the entire cryptocurrency. It has been scientifically proven…Read More
- Ink Stain Attack: Recovering Private Keys to Lost Bitcoin Wallets: A critical memory vulnerability and Secret Key Leakage Attack leads to a total compromise of the cryptocurrency and allows an attacker to gain complete control of BTC coins. A critical vulnerability involving the leakage of private keys due to careless memory handling or insecure data serialization poses a fundamental threat to the Bitcoin cryptocurrency infrastructure and users. The…Read More
- Dark Curve Fracture Attack: A critical Bitcoin vulnerability that allows private key recovery and mass compromise of lost wallets The critical vulnerability «Invalid Curve Attack» and its variant «Twist Attack» can completely undermine the security of the Bitcoin system, allowing an attacker to extract private keys by sending invalid…Read More
- Stolen Echo Attack: Deadly Resonance of the Nonce, a critical nonce reuse vulnerability and recovery of private keys for lost Bitcoin wallets. Similar errors and bugs allowed hackers to steal hundreds of bitcoins. A critical cryptographic vulnerability related to nonce reuse in digital signatures in Bitcoin is a fundamental issue that threatens the security of the entire blockchain system. The attack, scientifically known…Read More
- Resonant Skulker Attack: Recovering private keys to lost Bitcoin wallets via a critical nonce reuse vulnerability in MuSig2 is a new security threat and a major attack on the Bitcoin ecosystem. A critical nonce reuse or deterministic nonce reuse vulnerability in the MuSig2 protocol poses a fundamental threat to the Bitcoin cryptocurrency. Known scientifically as a Resonant Skulker Attack ( Nonce Reuse Attack ), this…Read More
- Attack of the Dark Ghost of Nonce Reuse: A critical Bitcoin vulnerability and recovery of private keys for lost wallets. The threat could lead to massive compromises of BTC funds. Critical Nonce Reuse Vulnerability Attack of the Dark Ghost of Nonce Reuse:(Nonce Reuse Attack) This is a clear example of a fundamental risk for the entire Bitcoin cryptocurrency infrastructure. Exploiting…Read More
- Shadow Key Attack: Critical ECDSA Nonce Vulnerability: Recovering the private key of lost Bitcoin wallets through a nonce reuse attack when signing transactions allows an attacker to perform simple mathematical transformations Shadow Key Attack ( “Nonce Reuse Attack” or “ECDSA Private Key Recovery Attack via Nonce Reuse” ) The described critical vulnerability, related to the leakage or reuse of the nonce secret in the ECDSA algorithm,…Read More
- Doomsday Key Attack (CVE-2024-38365): A critical vulnerability in Bitcoin Script and private key recovery for lost Bitcoin wallets via forged public keys and cryptographic injection Doomsday Key Attack: (CVE-2024-38365 «Key Extraction Attack», «Invalid Public Key Injection», или «Signature Malleability Exploit») The Doomsday Key is a descriptive name for the exploitation of the critical vulnerability CVE-2024-38365 in…Read More
- Phantom Signature Attack (CVE-2025-29774) and the critical SIGHASH_SINGLE vulnerability: restoring private keys in lost Bitcoin wallets through forging digital signatures and uncontrolled withdrawal of BTC coins A critical SIGHASH_SINGLE vulnerability in the Bitcoin protocol opens the way to a type of attack Phantom Signature Attack: SIGHASH_SINGLE Vulnerability (CVE-2025-29774) Represents a fundamental security threat to the world’s largest cryptocurrency.…Read More
- Phantom Curve Attack: A deadly re-nonce vulnerability in ECDSA and the complete hacking of private keys of lost Bitcoin wallets and exploitation by an attacker with two signatures with the same R values Phantom Curve Attack:(ECDSA Private Key Recovery Attack via Nonce Reuse) A critical vulnerability involving weak or reusable nonces in the ECDSA signature algorithm is one of the most devastating threats…Read More
- CACHEHAWK STRIKE ATTACK: A Critical Cache-Timing Attack on Bitcoin Signature Cache Allows Recovering Private Keys to Lost Bitcoin Wallets CACHEHAWK STRIKE ATTACK: A cache-timing side channel attack on Bitcoin’s signature cache, known in academic circles as a cache-timing attack , is a critical vulnerability that undermines the very foundation of cryptocurrency security. It…Read More
- CRYSTAL BLOCK ATTACK: Critical vulnerability in deterministic key generation in Bitcoin GCS filters and recovery of private keys for lost Bitcoin wallets Crystal Block Attack The critical vulnerability associated with the predictable and deterministic generation of filter keys (Filter Key Derivation Vulnerability) in Bitcoin and its ecosystem vividly illustrates how the slightest…Read More
- Phantom Seed Leak Attack: Recovering Lost Bitcoin Wallets’ Private Keys by Exploiting HD Derivation Remnant Memory via a Phantom Leak of Intermediate HMAC Data Phantom Seed Leak This article examined one of the most critical and subtle threats to the Bitcoin cryptocurrency ecosystem: a vulnerability arising from residual traces of intermediate secret data (e.g.,…Read More
- Phantom SigHash Attack Cryptanalysis Vulnerability (CVE-2024-38365): Critical Weakness in Cryptographic Verification and Methods for Recovering Private Keys of Lost Bitcoin Wallets Phantom SigHash Attack (CVE-2024-38365) — one of the most dangerous cryptographic vulnerabilities for the Bitcoin ecosystem, capable of leading to large-scale theft, loss of funds, and undermining trust in the…Read More
- Neuterless Nightmare Attack: A Critical Vulnerability in Bitcoin HD Key Serialization – A Privacy Compromise Attack via EncodeExtendedKey and the Recovery of Lost Cryptocurrency Wallets Neuterless Nightmare Attack : The EncodeExtendedKey vulnerability allows an attacker to obtain a «phantom» private key that undetected leaks from the public interface. This attack allows for the extraction of xprv…Read More
- VarByte Key-Leak Attack: A critical PSBT serialization vulnerability and recovery of private keys to lost Bitcoin wallets via leaked secret data in unencrypted traffic VarByte Key-Leak Attack A critical vulnerability in private key serialization in the PSBT protocol poses a fundamental threat to the entire Bitcoin ecosystem. This flaw allows an attacker to undetectedly…Read More
- Phantom UTXO Leak Attack: A deanonymization attack on the Bitcoin ecosystem via the NonWitnessUtxo leak to recover private keys from lost cryptocurrency wallets Phantom UTXO Leak Attack The Phantom UTXO Leak vulnerability in PSBT/BIP-174 demonstrates how a simple error in data field management can turn into a serious threat to the entire Bitcoin…Read More
- PEM-BLEED ATTACK: Critical ECDSA Private Key Leak Vulnerability – A Catastrophic Attack on the Bitcoin Ecosystem’s Cryptographic Foundation and Methods for Recovering Lost Wallets PEM-BLEED — BTCSuite Private Key Leak Attack The essence of the attack PEM-BLEED (Privacy Enhanced Mail Bleed) is an attack that exploits the insecure serialization and transmission of ECDSA private keys in…Read More
- Phantom Leak: A critical vulnerability in Bitcoin private key validation and the threat of a Key Injection Attack as a factor in the theft of funds and the undermining of the integrity of the blockchain Phantom Leak Ignoring errors in Bitcoin’s private key processing creates a fundamental window for Key Injection attacks, which allow malicious private keys and addresses to be generated, injected, and exploited.…Read More
- One-Bit Master Attack: A Critical Cryptographic Vulnerability in Bitcoin: One-Bit Master Attack and Private Key Recovery via Hardcoded Private Key Attack (CVE-2025-27840) One-Bit Master Attack The cryptographic vulnerability associated with the use of a hardcoded private key ( btcec.PrivKeyFromBytes([]byte{0x01})) represents an extremely dangerous and systemic security flaw in the Bitcoin infrastructure, potentially leading…Read More
- Key Ghost Attack: Memory ghosts and the threat of Bitcoin private key extraction via cold boot and memory extraction attacks allow an attacker to gain full access to BTC coins. Key Ghost Attack Insufficient attention to zeroization in cryptographic libraries poses a serious security risk to the entire Bitcoin and other cryptocurrency ecosystems. Cold Boot Attacks and Memory Key Extraction can lead to complete…Read More
- Singleton Stampede: A critical race in the context of secp256k1, leading to private key recovery and an all-out attack on Bitcoin wallets. The vulnerability threatens Bitcoin’s cryptosecurity and opens the door to an all-out attack on digital assets. Singleton Stampede A cryptographic vulnerability related to incorrect multi-threaded initialization of the singleton context for secp256k1 in Bitcoin software is one of the most dangerous design flaws in the distributed…Read More
- Context Phantom Attack: Critical secp256k1 phantom context leak vulnerability and recovery of lost Bitcoin wallet private keys via memory disclosure attack Context Phantom Attack (Ghost Attack of Context) The Context Phantom Memory Disclosure Attack (CPMA) poses a critical security threat to the Bitcoin network. Failure to sanitize secp256k1 contexts allows for mass extraction of…Read More
- ChronoShock Vulnerability: Critical Private Key Generation Vulnerability and Milk Sad Attack (CVE-2023-39910) – Private key recovery for lost Bitcoin wallets, mass compromise, and mortal threat to the Bitcoin cryptocurrency ecosystem ChronoShock Vulnerability Neglecting the principles of strong entropy generation leads to disastrous consequences for users of cryptographic and especially blockchain applications. The classic «ChronoShock» (Milk Sad) vulnerability demonstrated that even…Read More
- Spectral Fingerprint Attack: A critical memory remnant vulnerability and a dangerous attack for recovering private keys from data leaks can persist secrets in RAM without hard sanitization. Spectral Fingerprint Attack (Remanence Attack) The vulnerability is related to a spectral fingerprinting attack, which occurs due to careless memory handling when handling private keys. It can be completely mitigated…Read More
- RingSide Replay Attack (Milk Sad CVE-2023-39910): Recovering private keys of lost Bitcoin wallets by exploiting a critical weak entropy vulnerability in the pseudorandom number generator RingSide Replay Attack – A Spectacular Hack Based on Weak Entropy The RingSide Replay Attack (Milk Sad CVE-2023-39910) is a textbook example of how flaws in the entropy source can…Read More
- HexWitness Leak: A critical vulnerability leaking private keys through the witness stack is a deadly threat to the Bitcoin network, where an attacker can simply trace a log or memory dump to gain complete control over someone else’s BTC. HexWitness Leak (Secret Key Leakage) Critical serialization and data output errors leading to accidental or intentional leakage of private keys pose a mortal threat to both individual users and the…Read More
Данный материал создан для портала CRYPTO DEEP TECH для обеспечения финансовой безопасности данных и криптографии на эллиптических кривых secp256k1 против слабых подписей ECDSA в криптовалюте BITCOIN. Создатели программного обеспечения не несут ответственность за использование материалов.
Telegram: https://t.me/cryptodeeptech
Видеоматериал: https://youtu.be/qZvJUonp228
Video tutorial: https://dzen.ru/video/watch/68ff42ad9f0528014a4b1cf8
Источник: https://cryptodeeptool.ru/phoenix-rowhammer-attack