Atlas21
  • ‎
No Result
View All Result
Atlas21
No Result
View All Result
Atlas21
Home Bitcoin

Dark Skippy: il (non) nuovo attacco che mette a rischio le chiavi private degli hardware wallet

Newsroom by Newsroom
Agosto 14, 2024
in Bitcoin
address poisoning
Share on FacebookShare on TwitterShare on Linkedin

Pubblicato un metodo per rubare la seed phrase degli hardware wallet attraverso un firmware malevolo: i dettagli.

Un “nuovo” attacco chiamato Dark Skippy mette a rischio la sicurezza degli hardware wallet Bitcoin. Scoperto da Robin Linus, Lloyd Fournier e Nick Farrow, tale metodo permette a un hacker di rubare la seed phrase di un hardware wallet, nascondendola nelle firme delle transazioni Bitcoin.

Come funziona l’attacco

L’attacco si basa sull’uso di firmware malevolo che altera il processo standard di firma delle transazioni Bitcoin.

  1. L’hacker installa un firmware malevolo sull’hardware wallet della vittima.
  2. Quando l’utente effettua una transazione, il firmware nasconde la prima parte della seed phrase nella firma della transazione.
  3. Con solo due transazioni, l’intera seed phrase può essere ricostruita dall’attaccante.
  4. L’hacker può così ottenere il controllo completo del wallet e rubare i fondi.

Nonostante l’attacco non rappresenti una nuova vulnerabilità, Dark Skippy sfrutta tale debolezza in modo più efficiente: bastano solo due transazioni per compromettere completamente il wallet della vittima. In passato si pensava fossero necessarie molte più transazioni.

L’attacco sfrutta un elemento tecnico chiamato “nonce” utilizzato nelle firme delle transazioni. Gli hardware wallet inseriscono questi valori casuali ogni volta che firmano transazioni Bitcoin.
Attraverso il firmware malevolo, Dark Skippy rende prevedibile il nonce, permettendo di nascondervi informazioni segrete nella firma della transazione. L’attaccante può così monitorare la blockchain per trovare transazioni con un watermark specifico che rivela la presenza dei dati incorporati.
Utilizzando algoritmi come il Kangaroo di Pollard, l’attaccante può recuperare i nonce prevedibili dai dati di firma pubblici, ricostruendo successivamente il seed e ottenendo il controllo sul wallet. L’algoritmo di Kangaroo di Pollard è uno strumento utile nella crittografia per risolvere problemi legati ai logaritmi discreti, ma può anche essere utilizzato in contesti di attacco per compromettere la sicurezza di sistemi crittografici.

Come affermato nella disclosure ufficiale, Dark Skippy non influisce sugli hardware wallet che utilizzano un setup multi-sig.

Possibili contromisure

Per difendersi da tale tipologia di attacchi, gli utenti di hardware wallet dovrebbero:

  • Usare solo firmware ufficiale e aggiornato.
  • Acquistare hardware wallet solo da venditori affidabili.
  • Considerare l’uso di wallet multi-sig per maggiore sicurezza.

Per quanto riguarda le aziende produttrici di hardware wallet, possibili mitigazioni includono l’implementazione di protocolli anti-exfil, che possono aiutare a prevenire la fuoriuscita non autorizzata di dati segreti dal dispositivo hardware. Ad oggi BitBox e Blockstream Jade sono gli unici due hardware wallet che hanno implementato l’anti-exfil.

Reazioni della comunità

Tra le varie reazioni alla notizia, alcuni sviluppatori Bitcoin hanno subito placato le preoccupazioni, affermando che tale tipologia di attacco è nota da tempo.

Stadicus di BitBox ha commentato:

“Dark Skippy – nel bel mezzo di tutto il panico riguardo a questo “nuovo” attacco…

Il cold wallet BitBox02 ha implementato una protezione specifica contro questo attacco oltre TRE anni fa.

Jade è l’unico altro hardware wallet che la utilizza”.

Lo sviluppatore Matt Corallo ha affermato:

“Questa [storia] è una nuova ricostruzione innovativa, ma la classe di attacchi è molto, molto vecchia: gli hardware wallet hanno avuto anni per affrontare questo problema, e quelli che non l’hanno fatto (tutti tranne Jade e BitBox) dovrebbero essere considerati prodotti inadeguati e scartati.

Utilizza un laptop offline prima di un hardware wallet”.

Previous Post

Nasce Fedi: l’app Bitcoin che mette la comunità al centro

Next Post

TASS: Putin firma legge per legalizzare il mining in Russia

Latest News

stablecoin
Crypto

Il rublo digitale e l’euro digitale sono la stessa prigione con pareti diverse

by Federico Rivi
Luglio 3, 2026
0

Mosca e Francoforte parlano lingue diverse ma costruiscono la stessa architettura: programmabilità, sorveglianza delle transazioni, abolizione della privacy monetaria.

Read moreDetails
criptovalute
Industry

La Russia lancerà il rublo digitale su larga scala entro settembre

by Newsroom
Luglio 3, 2026
0

Il calendario della Banca di Russia trasforma il rublo digitale da sperimentazione a infrastruttura monetaria di Stato, con implicazioni dirette...

Read moreDetails
Jeff Booth: Bitcoin is a protocol, not an asset
Bitcoin

Jeff Booth: Bitcoin è un protocollo, non un asset

by Newsroom
Luglio 2, 2026
0

La distinzione tra riserva di valore e protocollo monetario determina, secondo Booth, il destino stesso della rete nei prossimi dieci...

Read moreDetails
La Fed pubblica i primi dati dello studio sui pagamenti 2025
Industry

La Fed pubblica i primi dati dello studio sui pagamenti 2025

by Newsroom
Luglio 2, 2026
0

Lo studio triennale della Federal Reserve fotografa un sistema che si digitalizza sotto la regia dello Stato: chi controlla i...

Read moreDetails
Raccontare Bitcoin tramite l’arte
Feature

L’indipendenza della Fed è un’invenzione giuridica

by Federico Rivi
Luglio 1, 2026
0

Le sentenze SCOTUS del 29 giugno 2026 sulle agenzie indipendenti rivelano che la banca centrale americana è sempre stata un'appendice...

Read moreDetails
Atlas21

© 2026 Atlas21

Navigate Site

  • Politica Editoriale
  • Cookie Policy
  • Privacy Policy
  • Redazione

Follow Us

No Result
View All Result
  • Bitcoin 101
    • Cos’è Bitcoin? Guida completa
    • Sicurezza Bitcoin: guida completa
    • Privacy Bitcoin: guida completa
    • Lightning Network: guida completa
    • Mining Bitcoin: guida completa
    • Bitcoin Avanzato: guida tecnica
  • Learn
  • Ultime Notizie
  • Interviste
  • Opinion
  • Feature
  • Servizi B2B
  • Chi Siamo
  • Contatti

© 2026 Atlas21

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.