Η Check Point Research (CPR) εντόπισε μια ευπάθεια ασφαλείας στο blockchain wallet της Everscale. Σε περίπτωση εκμετάλλευσης, η ευπάθεια θα έδινε σε έναν εισβολέα τον πλήρη έλεγχο του πορτοφολιού του θύματος και των επακόλουθων κεφαλαίων. Η ευπάθεια ανακαλύφθηκε στη διαδικτυακή έκδοση του πορτοφολιού της Everscale, γνωστή ως Ever Surf. Διαθέσιμο στο Google Play και στο Apple iOS Store, το Ever Surf είναι ένα cross-platform messenger, ένα πρόγραμμα περιήγησης blockchain και ένα πορτοφόλι κρυπτονομισμάτων για το δίκτυο blockchain της Everscale. Σύμφωνα με τις αναφορές, το Everscale πραγματοποιεί 31,6 εκατομμύρια συναλλαγές και έχει πάνω από 669.000 λογαριασμούς παγκοσμίως. Είναι μια πλατφόρμα έξυπνων συμβολαίων που βασίζεται στο προηγούμενο project blockchain TON του Telegram.
- H CPR αποδεικνύει ότι ήταν δυνατό για έναν εισβολέα να αποκρυπτογραφήσει ιδιωτικά κλειδιά και να καλλιεργήσει φράσεις
- Η αποκρυπτογράφηση διαρκεί μόλις δύο λεπτά σε hardware καταναλωτικού επιπέδου
- Η CPR προτρέπει σε προσοχή κατά την ενασχόληση με κρυπτονομίσματα
Η Check Point Research (CPR) εντόπισε μια ευπάθεια ασφαλείας στο πορτοφόλι blockchain της Everscale. Σε περίπτωση εκμετάλλευσης, η ευπάθεια θα έδινε σε έναν εισβολέα τον πλήρη έλεγχο του πορτοφολιού του θύματος και των επακόλουθων κεφαλαίων. Η ευπάθεια ανακαλύφθηκε στη διαδικτυακή έκδοση του πορτοφολιού της Everscale, γνωστή ως Ever Surf. Διαθέσιμο στο Google Play Store και στο App Store της Apple, το Ever Surf είναι ένας cross-platform messenger, ένα πρόγραμμα περιήγησης blockchain και ένα πορτοφόλι κρυπτονομισμάτων για το δίκτυο blockchain της Everscale.
Το δίκτυο blockchain της Everscale έχει πραγματοποιήσει 31,6 εκατομμύρια συναλλαγές και διαθέτει πάνω από 669.000 λογαριασμούς παγκοσμίως.
Μεθοδολογία επίθεσης
Εκμεταλλευόμενος την ευπάθεια, ένας εισβολέας μπορούσε να αποκρυπτογραφήσει τα ιδιωτικά κλειδιά και τις φράσεις εκκίνησης που είναι αποθηκευμένα στην τοπική αποθήκευση του προγράμματος περιήγησης. Η CPR περιέγραψε την πιθανή μεθοδολογία επίθεσης ως εξής:
- Λήψη των κρυπτογραφημένων κλειδιών του πορτοφολιού. Συνήθως, οι επιτιθέμενοι χρησιμοποιούν κακόβουλες επεκτάσεις του προγράμματος περιήγησης, κακόβουλο λογισμικό infostealer ή απλώς phishing για να αποκτήσουν τα κλειδιά
- Αποκρυπτογράφηση των κλειδιών με την εκτέλεση ενός απλού σεναρίου. Με τη βοήθεια της ευπάθειας που ανακαλύφθηκε, η αποκρυπτογράφηση διαρκεί μόλις δύο λεπτά σε ένα hardware καταναλωτικού επιπέδου
- Κλοπή χρημάτων από το πορτοφόλι
Responsible Disclosure
Η CPR αποκάλυψε την ευπάθεια στους προγραμματιστές του Ever Surf, οι οποίοι στη συνέχεια κυκλοφόρησαν μια έκδοση για υπολογιστές γραφείου που την μετριάζει. Η διαδικτυακή έκδοση έχει πλέον κηρυχθεί απαρχαιωμένη και θα πρέπει να χρησιμοποιείται μόνο για σκοπούς ανάπτυξης. Η καλλιέργεια φράσεων από λογαριασμούς που αποθηκεύουν πραγματική αξία σε κρυπτογράφηση δεν θα πρέπει να χρησιμοποιούνται στη διαδικτυακή έκδοση του Ever Surf. Η Ever Surf εξέδωσε μια δήλωση που μπορείτε να διαβάσετε στη δημοσίευση της CPR.
Σχόλιο του Alexander Chailytko, Cyber Security, Research & Innovation Manager στην Check Point Software:
“Ανακαλύψαμε μια ευπάθεια στο δημοφιλές πορτοφόλι blockchain Everscale, εξαιτίας της οποίας οι κωδικοί του πορτοφολιού μπορούν εύκολα να αποκρυπτογραφηθούν από έναν εισβολέα. Η κατοχή των κλειδιών σημαίνει πλήρη έλεγχο του πορτοφολιού του θύματος και, ως εκ τούτου, των κεφαλαίων. Το Everscale είναι ο τεχνολογικός διάδοχος του δικτύου TON, το οποίο αναπτύχθηκε από την ομάδα της Telegram. Ταυτόχρονα, το Everscale βρίσκεται ακόμη σε πρώιμο στάδιο ανάπτυξης. Υποθέσαμε ότι μπορεί να υπάρχουν τρωτά σημεία σε ένα τόσο νεαρό προϊόν. Ήμασταν επίσης περίεργοι για το πώς υλοποιείται η προστασία των κλειδιών στο πιο δημοφιλές πορτοφόλι για αυτό το blockchain. Το proof of concept της CPR παρουσιάζει διάφορους φορείς επίθεσης που μπορούν να οδηγήσουν έναν εισβολέα στην απόκτηση ιδιωτικών κλειδιών και φράσεων σπόρου σε καθαρό κείμενο, τα οποία μπορούν στη συνέχεια να χρησιμοποιηθούν για να αποκτήσουν πλήρη έλεγχο του πορτοφολιού του θύματος.
Όταν εργάζεστε με κρυπτονομίσματα, πρέπει πάντα να είστε προσεκτικοί, να διασφαλίζετε ότι η συσκευή σας είναι απαλλαγμένη από κακόβουλο λογισμικό, να μην ανοίγετε ύποπτους συνδέσμους, να διατηρείτε ενημερωμένο το λειτουργικό σύστημα και το λογισμικό προστασίας από ιούς. Παρά το γεγονός ότι η ευπάθεια που εντοπίσαμε έχει επιδιορθωθεί στη νέα έκδοση desktop του πορτοφολιού Ever Surf, οι χρήστες ενδέχεται να αντιμετωπίσουν άλλες απειλές, όπως ευπάθειες σε αποκεντρωμένες εφαρμογές ή γενικές απειλές όπως απάτη, phishing”.
Cyber Safety Tips
Θα θέλαμε να σας υπενθυμίσουμε ότι οι συναλλαγές blockchain είναι μη αναστρέψιμες. Στο blockchain, σε αντίθεση με μια τράπεζα, δεν μπορείτε να μπλοκάρετε μια κλεμμένη κάρτα ή να αμφισβητήσετε μια συναλλαγή. Εάν κλαπούν τα κλειδιά για το πορτοφόλι σας, τα κρυπτογραφικά σας κεφάλαια μπορεί να γίνουν εύκολη λεία για τους εγκληματίες του κυβερνοχώρου και κανείς δεν μπορεί να βοηθήσει να επιστρέψετε τα χρήματά σας πίσω. Για να αποτρέψετε την κλοπή των κλειδιών, σας συνιστούμε:
- Μην ακολουθείτε ύποπτους συνδέσμους, ειδικά αν προέρχονται από αγνώστους.
- Διατηρείτε ενημερωμένο το λειτουργικό σας σύστημα και το λογισμικό προστασίας από ιούς
- Μην κατεβάζετε λογισμικό και επεκτάσεις του προγράμματος περιήγησης από μη επαληθευμένες πηγές