基于 GG18/20 实现 MPC 门限签名攻击预警

By Max

据 Safeheron 旗下弦冰实验室首席科学家何剑虹介绍，一种针对门限签名算法的攻击方式刚刚被 Dmytro 和 Omer 所发现 [DO21]。

该攻击方式主要是针对 [GG18] 和 [GG20] 两篇论文所提出的门限签名算法。由于 [GG18] 和 [GG20] 的安全性，自论文发表以来，就成为了最广泛使用的私钥签名算法，Zengo、Binance、ING、PayPal/Curv、Fireblocks、Safeheron 等众多知名 MPC 科技公司都基于该论文实现了自己的多方签名算法库。因此，该攻击漏洞造成的影响范围非常广泛，甚至可能出现资产损失。

弦冰实验室会在近期详细介绍此漏洞的攻击原理、攻击效果和修复方案。

攻击原理

新的攻击方式主要针对 [GG18] 和 [GG20] 中的所使用的 multiplicative-to-additive 子协议（简称 MtA 子协议）。MtA 子协议是一种在两方计算中常常使用的、将乘法转换为加法的协议工具。在执行 MtA 子协议的过程中，攻击者选择合适的 k 值，利用协议的正常结果，分析猜测直接关系到用户私钥的 w 的取值范围。通过多次攻击，即便安全多方签名协议会失败，攻击也会逐步逼近和缩小 w 的取值范围。当取值范围缩小到一定范围，不需要很大算力就能暴力计算出 w 的值，从而得到用户的私钥分片。

攻击效果

在执行安全多方签名协议时，单人即可发起有效攻击，获取参与各方的私钥分片。通过多次签名，每次都选择 MtA 子协议中合适的 k 值，并记录好被攻击方的返回值。当攻击累计到一定次数（论文中实验是16次），则可通过 k 值和被攻击方的返回值计算出参与各方私钥分片。

弦冰实验室通过研究确定，Safeheron 不会受到该攻击的影响，后续会继续跟踪该问题，并详细介绍该漏洞的理论原理和攻击效果和修复方案。

参考文献：

• [DO21] Alpha-Rays: Key Extraction Attacks on Threshold ECDSA Implementations

• [GG18] Rosario Gennaro and Steven Goldfeder. Fast multiparty threshold ecdsa with fast trustless setup. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, pages 1179–1194, 2018

• [GG20] Rosario Gennaro and Steven Goldfeder. One round threshold ecdsa with identifiable abort. IACR Cryptol. ePrint Arch., 2020:540, 2020