Vulnerabilidade em cripto wallet da Everscale dava a hackers total controlo de fundos

  • Desencriptação de chaves de acesso levaria apenas uns minutos
  • A Check Point Research partilhou as suas conclusões com a plataforma, que entretanto já mitigou a falha

Se explorada com sucesso, a vulnerabilidade daria ao atacante controlo total sobre a wallet da vítima e os fundos nela contidos. A vulnerabilidade foi descoberta na versão web da wallet da Everscale, conhecida por Ever Surf. Disponível na Google Play Store e na App Store da Apple, a Ever Surf é um sistema multiplataforma, um browser de blockchain e uma cripto wallet para a rede de blockchain Everscale.

A rede de blockchain Everscale conduziu 31.6 milhões de transacçõese acolhe mais de 669,000 contas em todo o mundo.

 

Metodologia de ataque

Explorando a vulnerabilidade, seria possível para um atacante desencriptar as senhas privadas e frases-semente (seed phrases, em inglês, isto é, os mecanismos de acesso à cripto wallet de cada utilizador) que estão armazenadas no armazenamento local do browser. A CPR descreve a potencial metodologia de ataque da seguinte forma:

  1. Obter as senhas encriptadas da wallet. Normalmente, os atacantes utilizam extensões de browser maliciosas, infostealers (isto é, malware de roubo de informação) ou táticas de phishing para obtenção das mesmas
  2. Desencriptar as senhas através da execução de um script simples. A vulnerabilidade identificada fazia com que a desencriptação demorasse apenas uns minutos, mesmo num hardware de grau de consumidor
  3. Roubar fundos da wallet

A CPR partilhou as suas conclusões acerca da vulnerabilidade com os programadores da Ever Surf, que lançaram depois uma versão para desktop de mitigação da mesma. A versão web está agora declarada como obsoleta e deve ser utilizada apenas para fins de programação. As frases-semente que armazenam activos de valor não devem ser utilizados na versão web da Ever Surf, que entretanto emitiu uma declaração que pode ser lida no relatório técnico partilhado pela CPR. 

Descobrimos uma vulnerabilidade na rede de blockchain Everscale, que fazia com que as senhas de acesso às cripto wallets pudessem ser facilmente desencriptadas por potenciais atacantes. Ter a senha significa ter total controlo sobre a wallet da vítima, e portanto, sobre os seus fundos. A Everscale é o a sucessora tecnológica da rede TON, desenvolvida pela equipa do Telegram. Ao mesmo tempo, a Everscale está ainda nas fases iniciais de desenvolvimento. Assumimos que pudessem existir vulnerabilidades num produto tão recente. Além disso, estávamos curiosos sobre como era implementada a proteção de senhas naquela que é a wallet mais popular para esta blockchain. A prova de conceito da CPR apresenta vários vetores de ataque que poderiam levar a que um atacante obtivesse as senhas privadas e frases iniciais das suas vítimas, permitindo depois que controlassem totalmente as suas wallets,” começa por dizer Alexander Chailytko, Cyber Security, Research & Innovation Manager da Check Point Software

Quando trabalhamos com criptomoeda, temos de ser muito cuidadosos, isto é, garantir que o dispositivo está livre de malware, não abrir links suspeitos, manter o sistema operativo e o software antivírus, actualizados. Apesar de a vulnerabilidade que encontrámos ter já uma pacth para a nova versão de desktop da  Ever Surf, os utilizadores podem ainda encontrar outras ameaças, como vulnerabilidades em aplicações descentralizadas, ou ameaças mais gerais, como fraude ou phishing,” termina o responsável. 

 

Dicas de cibersegurança

Relembramos que as transacções de blockchain são irreversíveis. Em blockchain, ao contrário do que acontece num banco, não é possível bloquear um cartão roubado ou contestar uma transacção. Se a senha da wallet de um utilizador é roubada, os fundos tornam-se uma presa fácil para os cibercriminosos, e ninguém poderá garantir que a vítima recebe o dinheiro de volta. Para evitar o roubo de senhas, recomendamos:

  • Não clique em links suspeitos, especialmente se recebidos de estranhos
  • Mantenha o sistema operativo e software antivírus actualizados 
  • Não faça download de software ou extensões para browsers através de fontes não verificadas
317
Sobre o autor: Redacção do Jornal Visão Moçambique
Jornal moçambicano que inova na maneira de informar. Notícias de Moçambique e do mundo num toque. Digitalizamos a maneira como a notícia chega ás suas mãos e ao bolso através desta camada jovem que faz Jornalismo Social e Responsável.
Compartilhar isso

Comentários do Facebook