Portfel Everscale z luką w zabezpieczeniach

Przeczytaj także: Kolejna giełda NFT z lukami bezpieczeństwa

Everscale cieszy się ogromną popularnością. Do tej pory w sieci Everscale przeprowadzono łączne 31,6 miliona transakcji na ponad 669 tys. kont na całym świecie.

Wykorzystując lukę, hakerzy mogli odszyfrować klucze prywatne oraz frazy początkowe, które są przechowywane w pamięci lokalnej przeglądarki. Zdaniem stojących za odkryciem analityków Check Point Research, atak mógł polegać na wykorzystaniu złośliwego rozszerzenia przeglądarki, które wykradałoby informacje lub wykorzystując phishing w celu zdobycia kluczy. Uruchamiając prosty skrypt wykorzystujący podatność, hakerzy mogli odszyfrować klucze w zaledwie kilka minut, wykorzystując do tego przeciętny komputer konsumencki. Deszyfrowanie oznacza w praktyce uzyskanie dostępu do funduszy portfela.

Odkryliśmy lukę w popularnym portfelu blockchain Everscale, dzięki której klucze portfela mogły być łatwo odszyfrowane przez atakującego. Posiadanie kluczy oznacza pełną kontrolę nad portfelem ofiary, a tym samym nad funduszami. Everscale jest technologicznym następcą sieci TON, która została opracowana przez zespół Telegram. Everscale wciąż jest we wczesnej fazie rozwoju. Założyliśmy, że w tak młodym produkcie mogą występować luki. Byliśmy ciekawi, jak funkcjonuje ochrona kluczy w najpopularniejszym portfelu tego blockchaina. Wprowadziliśmy kilka wektorów ataku, które mogły doprowadzić do tego, że atakujący uzyska klucze prywatne i frazy początkowe w postaci zwykłego tekstu, które następnie można wykorzystać do uzyskania pełnej kontroli nad portfelem ofiary – wyjaśnia Aleksander Chailytko, menedżer ds. cyberbezpieczeństwa, badań i innowacji w Check Point Software.

Check Point Research poinformowało o zdarzeniu programistów Ever Surf, którzy naprawili błąd. Firma poinformowała, że nie rekomenduje korzystania z wersji webowej aplikacji, która jest przestarzała i powinna służyć jednie celom programistycznym.

Podczas pracy z kryptowalutami zawsze trzeba być ostrożnym: należy upewniać się, że urządzenie jest wolne od złośliwego oprogramowania, nie można otwierać podejrzanych linków, trzeba aktualizować system operacyjny i oprogramowanie antywirusowe. Pomimo faktu, że wykryta przez nas luka została załatana w nowej wersji portfela Ever Surf na komputery stacjonarne, użytkownicy mogą napotkać inne zagrożenia, takie jak luki w zdecentralizowanych aplikacjach lub ogólne zagrożenia, takie jak oszustwa, phishing – dodaje ekspert Check Pointa.

Eksperci zwracają uwagę na fakt, iż transakcje blockchain są nieodwracalne. W blockchain, w przeciwieństwie do banku, nie można zablokować skradzionej karty/portfela ani zakwestionować transakcji. Jeśli klucze do portfela zostaną skradzione, fundusze kryptograficzne mogą stać się łatwym łupem dla cyberprzestępców; nikt z kolei nie pomoże nam w odzyskaniu środków.

Aby zapobiec kradzieży kluczy, Check Point Research zaleca, aby nie otwierać podejrzanych linków, zwłaszcza jeśli otrzymaliśmy je od nieznajomych, stale aktualizować system operacyjny i oprogramowanie antywirusowe, nie pobierać oprogramowania i rozszerzeń przeglądarki z niezweryfikowanych źródeł.