SlowMist：在橢圓曲線加密庫中發現嚴重安全漏洞

據 Foresight News 報導，SlowMist 科技表示在 JavaScript 生態系統中廣泛使用的橢圓曲線加密庫中發現了一個嚴重的安全漏洞（GHSA-vjh7-7g9h-fjfh）。攻擊者可以通過製造特定的輸入，僅憑一個簽名就能提取私鑰，從而完全控制受害者的數字資產或身份憑證。此漏洞的根本原因在於橢圓曲線庫對非標準輸入的處理缺陷，導致 ECDSA 簽名中隨機數 k 的重複可能性。由於 ECDSA 算法的安全性高度依賴於 k 的唯一性，一旦 k 重複，私鑰就可以被直接推導出，從而導致不可逆的安全風險。