Kolejna firma świadcząca usługi blockchain zmaga się z problemami bezpieczeństwa. Tym razem luki w zabezpieczeniach portfela blockchain wykryto w Everscale, czołowej sieci blockchain. Jej wykorzystanie umożliwiłoby atakującemu przejęcie kontroli nad portfelem ofiary i jej środkami. Luka została odkryta w internetowej wersji portfela Everscale, znanej jako Ever Surf – poinformował Check Point Research.
Eksperci bezpieczeństwa cybernetycznego zidentyfikowali podatność w zabezpieczeniach portfela blockchain Everscale, która pozwalała na przejęcie kontroli nad portfelem ofiary, a następnie środkami. Luka została odkryta w internetowej wersji portfela Everscale, znanej jako Ever Surf. Informacja ta jest szczególnie istotna w kontekście popularności usługi – do tej porty w sieci Everscale przeprowadzono 31,6 miliona transakcji na ponad 669 tys. kont na całym świecie.
Wykorzystując lukę, hakerzy mogli odszyfrować klucze prywatne oraz frazy początkowe, które są przechowywane w pamięci lokalnej przeglądarki. Zdaniem stojących za odkryciem analityków Check Point Research, atak mógł polegać na wykorzystaniu złośliwego rozszerzenia przeglądarki, które wykradałoby informacje lub wykorzystując phishing w celu zdobycia kluczy. Uruchamiając prosty skrypt wykorzystujący podatność, hakerzy mogli odszyfrować klucze w zaledwie kilka minut, wykorzystując do tego przeciętny komputer konsumencki. Deszyfrowanie oznacza w praktyce uzyskanie dostępu do funduszy portfela.
– Odkryliśmy lukę w popularnym portfelu blockchain Everscale, dzięki której klucze portfela mogły być łatwo odszyfrowane przez atakującego. Posiadanie kluczy oznacza pełną kontrolę nad portfelem ofiary, a tym samym nad funduszami. Everscale jest technologicznym następcą sieci TON, która została opracowana przez zespół Telegram. Everscale wciąż jest we wczesnej fazie rozwoju. Założyliśmy, że w tak młodym produkcie mogą występować luki. Byliśmy ciekawi, jak funkcjonuje ochrona kluczy w najpopularniejszym portfelu tego blockchaina. Wprowadziliśmy kilka wektorów ataku, które mogły doprowadzić do tego, że atakujący uzyska klucze prywatne i frazy początkowe w postaci zwykłego tekstu, które następnie można wykorzystać do uzyskania pełnej kontroli nad portfelem ofiary – wyjaśnia Aleksander Chailytko, menedżer ds. cyberbezpieczeństwa, badań i innowacji w Check Point Software.
Check Point Research poinformowało o zdarzeniu programistów Ever Surf, którzy naprawili błąd. Firma poinformowała, że nie rekomenduje korzystania z wersji webowej aplikacji, która jest przestarzała i powinna służyć jednie celom programistycznym.
– Podczas pracy z kryptowalutami zawsze trzeba być ostrożnym: należy upewniać się, że urządzenie jest wolne od złośliwego oprogramowania, nie można otwierać podejrzanych linków, trzeba aktualizować system operacyjny i oprogramowanie antywirusowe. Pomimo faktu, że wykryta przez nas luka została załatana w nowej wersji portfela Ever Surf na komputery stacjonarne, użytkownicy mogą napotkać inne zagrożenia, takie jak luki w zdecentralizowanych aplikacjach lub ogólne zagrożenia, takie jak oszustwa, phishing – dodaje ekspert Check Pointa.
Eksperci zwracają uwagę na fakt, iż transakcje blockchain są nieodwracalne. W blockchain, w przeciwieństwie do banku, nie można zablokować skradzionej karty/portfela ani zakwestionować transakcji. Jeśli klucze do portfela zostaną skradzione, fundusze kryptograficzne mogą stać się łatwym łupem dla cyberprzestępców; nikt z kolei nie pomoże nam w odzyskaniu środków.
Aby zapobiec kradzieży kluczy, Check Point Research zaleca, aby nie otwierać podejrzanych linków, zwłaszcza jeśli otrzymaliśmy je od nieznajomych, stale aktualizować system operacyjny i oprogramowanie antywirusowe, nie pobierać oprogramowania i rozszerzeń przeglądarki z niezweryfikowanych źródeł.
