Os pesquisadores da Check Point Research (CPR) identificaram uma vulnerabilidade de segurança no portfólio de blockchain da Everscale. Se essa falha de segurança tivesse sido explorada, os cibercriminosos teriam obtido controle total da carteira e dos fundos da vítima.
A vulnerabilidade foi descoberta na versão web da carteira Everscale, conhecida como Ever Surf. Disponível na Google Play Store e na Apple App Store, o Ever Surf é um serviço de mensagens multiplataforma, navegador blockchain e carteira de criptomoedas baseado na tecnologia blockchain.
Tecnologia Blockchain
A tecnologia blockchain e os aplicativos descentralizados (dAPPs) oferecem aos usuários uma série de vantagens. Por exemplo, os usuários podem utilizar o serviço sem criar uma conta e implementar como um aplicativo de página única escrito em JavaScript. Esse tipo de aplicativo não requer comunicação com uma infraestrutura centralizada, como um servidor web, e pode interagir diretamente com o blockchain ou usando uma extensão de navegador como o Metamask.
Assim, o usuário é identificado por meio de chaves que são armazenadas apenas em uma máquina local dentro de uma extensão do navegador ou de uma carteira web. Na maioria dos casos, os dAPPs são executados dentro do navegador e, portanto, podem ser vulneráveis a ataques como XSS.
Vulnerabilidade encontrada na versão web do Ever Surf
Como já dito, uma vulnerabilidade foi encontrada na versão web do Ever Surf, uma carteira para o blockchain Everscale. Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as fórmulas iniciais que são guardadas no armazenamento local do navegador.
Uma vez identificada a vulnerabilidade, a CPR divulgou a vulnerabilidade para os desenvolvedores do Ever Surf, que lançaram uma versão para desktop corrigindo a falha de segurança. A versão da web foi declarada obsoleta e deve ser usada apenas para fins de desenvolvimento.
Metodologia do ataque à carteira Everscale
Ao explorar a vulnerabilidade, foi possível para um cibercriminoso descriptografar as chaves privadas e as chaves de inicialização armazenadas na memória local do navegador. A Check Point Research resumiu a metodologia do ataque potencial da seguinte forma:
1. Obtenção das chaves criptografadas da carteira. Normalmente, os atacantes utilizam extensões de navegador maliciosas, malware Infostealer ou apenas phishing para obter as chaves.
2. Descriptografar as chaves executando um script simples. Com a ajuda da vulnerabilidade descoberta, a descriptografia leva apenas alguns minutos em um hardware de uso do consumidor.
3. Roubar fundos da carteira.
Dicas de segurança
Os pesquisadores da Check Point Research alertam que as transações blockchain são irreversíveis. No blockchain, diferentemente de um banco, o usuário não pode bloquear um cartão roubado ou contestar uma transação.
Assim, caso as chaves da carteira forem roubadas, os fundos de criptomoedas podem se tornar alvos fáceis para os cibercriminosos, e ninguém pode ajudar a devolver o dinheiro. Dessa forma, para evitar o roubo das chaves algumas recomendações básicas devem ser seguidas. A primeira delas é não seguir links suspeitos, especialmente se foram recebidos de estranhos. Você também deve manter o sistema operacional e software antivírus atualizados e não baixar software e extensões de navegador de fontes não verificadas ou desconhecidas.