Qu’est-ce qu’une attaque par relecture de signature et comment peut-elle être évitée ?

Comprendre les attaques par relecture de signature dans la blockchain

1. Une attaque par relecture de signature se produit lorsqu'un acteur malveillant intercepte une signature numérique valide et la soumet à nouveau au réseau blockchain pour exécuter une transaction non autorisée. Cet exploit exploite le fait que certains protocoles blockchain ne font pas de distinction adéquate entre les transactions identiques envoyées à des moments différents ou sur des réseaux différents.

2. Ces attaques sont particulièrement dangereuses dans les environnements inter-chaînes où la même clé privée est utilisée sur plusieurs blockchains. Un attaquant peut prendre une transaction signée sur une chaîne, comme Ethereum, et la rejouer sur une autre, comme Binance Smart Chain, drainant potentiellement des fonds si les protections ne sont pas en place.

3. La principale vulnérabilité réside dans la manière dont les signatures sont validées. Si une transaction manque d'identifiants uniques tels que des horodatages, des identifiants de chaîne ou des noms occasionnels, le réseau peut accepter les soumissions en double comme des opérations légitimes.

4. Un facteur critique permettant les attaques par rejeu est la réutilisation de paramètres de transaction qui doivent être uniques par exécution. Sans mécanismes garantissant l’utilisation unique d’une signature, les utilisateurs restent exposés à une exploitation répétée même après le traitement de la transaction initiale.

Vecteurs courants pour les exploits de réutilisation de signatures

1. Un scénario fréquent implique des applications décentralisées (dApps) qui permettent aux utilisateurs de signer des messages pour un calcul hors chaîne. Si ces messages signés sont ensuite utilisés en chaîne sans garanties supplémentaires, les attaquants peuvent les capturer et les réutiliser.

2. Les fournisseurs de portefeuille qui prennent en charge plusieurs chaînes compatibles EVM augmentent leur exposition lorsqu'ils n'appliquent pas la signature spécifique à la chaîne. Une signature générée pour Polygon peut être valide sur Avalanche à moins que l'ID de chaîne ne soit intégré dans les données signées.

3. Les contrats intelligents qui reposent uniquement sur la vérification d'adresse via la récupération ECDSA sans vérifier le contexte auxiliaire ouvrent la porte à la relecture. Les attaquants simulent l'intention de l'utilisateur en soumettant des signatures interceptées aux fonctions contractuelles qui attendent une entrée authentifiée.

4. Les forks réseau créent également des opportunités d’attaques par rejeu ; les transactions valides sur un fork peuvent s'exécuter de manière identique sur un autre, à moins qu'elles ne soient explicitement différenciées par des règles de consensus.

Mécanismes de prévention dans la cryptographie moderne

1. L'intégration de l'ID de chaîne dans le hachage du message signé garantit que les signatures ne sont valides que sur le réseau prévu. Cette pratique est devenue la norme après que la scission Ethereum/Ethereum Classic ait démontré des risques de relecture généralisés.

2. L'utilisation de noms occasionnels dans les charges utiles des transactions évite les traitements en double. Chaque signature comprend une valeur croissante de façon monotone liée à l'adresse de l'expéditeur, rendant les signatures antérieures invalides une fois le nonce avancé.

3. L'horodatage ou les signatures liées à un numéro de bloc limitent les fenêtres de validité. Les contrats rejettent les signatures en dehors d’une plage définie, réduisant ainsi la fenêtre d’opportunité d’interception et de réutilisation.

4. Les techniques de séparation de domaines dans le hachage de données structurées, telles que EIP-712, intègrent des contextes spécifiques à l'application dans le processus de signature. Cela rend les signatures non portables entre les dApps même si les clés sont partagées.

5. Le suivi de l'état en chaîne des signatures utilisées via des registres de mappage ou de bitmap garantit la consommation atomique : une fois vérifiée, une signature ne peut plus passer la validation.

Foire aux questions

Quel rôle EIP-155 joue-t-il pour empêcher les réexécutions de signatures ? EIP-155 introduit l'ID de chaîne dans le processus de signature des transactions, modifiant la génération de signature afin que les transactions deviennent spécifiques à une blockchain donnée. Cela empêche les signatures créées sur un réseau d'être valides sur un autre, neutralisant ainsi efficacement les menaces de relecture inter-chaînes.

Les portefeuilles matériels peuvent-ils atténuer les attaques par rejeu de signature ? Les portefeuilles matériels améliorent la sécurité en isolant les opérations de clé privée et incluent souvent des vérifications au niveau du micrologiciel pour l'ID de la chaîne et le contexte de la transaction. Bien qu'ils n'éliminent pas les vulnérabilités au niveau du protocole, ils réduisent le risque de signature accidentelle dans des conditions dangereuses.

Comment les mises à niveau des contrats intelligents affectent-elles la protection contre la relecture ? Les contrats mis à niveau doivent préserver la logique d’atténuation des réexécutions, en particulier la gestion des cas occasionnels et les registres de signatures. Une migration incorrecte de l’état peut réinitialiser les mesures de protection, réactivant ainsi l’exposition aux signatures précédemment capturées.

Les preuves sans connaissance sont-elles efficaces contre les rediffusions de signatures ? Les systèmes sans connaissance peuvent intégrer la résistance à la relecture en liant les preuves à des défis ou à des numéros de séquence uniques. Étant donné que chaque preuve dépend du contexte, la réplication échoue lors de la revalidation, offrant ainsi une défense robuste lorsqu'elle est correctement mise en œuvre.