eGospodarka.pl

eGospodarka.plWiadomościTechnologieInternet › Portfel Everscale z luką w zabezpieczeniach

Portfel Everscale z luką w zabezpieczeniach

2022-04-27 00:44

Portfel Everscale z luką w zabezpieczeniach

Portfel Everscale z luką w zabezpieczeniach © fot. mat. prasowe

Check Point Research poinformował o odkryciu luki w zabezpieczeniach portfela blockchain. Luka została odkryta w internetowej wersji portfela Everscale, znanej jako Ever Surf. Wykorzystanie luki umożliwiłoby atakującemu przejęcie kontroli nad portfelem ofiary i jej środkami.

Przeczytaj także: Kolejna giełda NFT z lukami bezpieczeństwa

Everscale cieszy się ogromną popularnością. Do tej pory w sieci Everscale przeprowadzono łączne 31,6 miliona transakcji na ponad 669 tys. kont na całym świecie.

Wykorzystując lukę, hakerzy mogli odszyfrować klucze prywatne oraz frazy początkowe, które są przechowywane w pamięci lokalnej przeglądarki. Zdaniem stojących za odkryciem analityków Check Point Research, atak mógł polegać na wykorzystaniu złośliwego rozszerzenia przeglądarki, które wykradałoby informacje lub wykorzystując phishing w celu zdobycia kluczy. Uruchamiając prosty skrypt wykorzystujący podatność, hakerzy mogli odszyfrować klucze w zaledwie kilka minut, wykorzystując do tego przeciętny komputer konsumencki. Deszyfrowanie oznacza w praktyce uzyskanie dostępu do funduszy portfela.

fot. mat. prasowe

Portfel Everscale z luką w zabezpieczeniach

Atakujący mógł odszyfrować klucze prywatne i frazy początkowe Everscale.


Odkryliśmy lukę w popularnym portfelu blockchain Everscale, dzięki której klucze portfela mogły być łatwo odszyfrowane przez atakującego. Posiadanie kluczy oznacza pełną kontrolę nad portfelem ofiary, a tym samym nad funduszami. Everscale jest technologicznym następcą sieci TON, która została opracowana przez zespół Telegram. Everscale wciąż jest we wczesnej fazie rozwoju. Założyliśmy, że w tak młodym produkcie mogą występować luki. Byliśmy ciekawi, jak funkcjonuje ochrona kluczy w najpopularniejszym portfelu tego blockchaina. Wprowadziliśmy kilka wektorów ataku, które mogły doprowadzić do tego, że atakujący uzyska klucze prywatne i frazy początkowe w postaci zwykłego tekstu, które następnie można wykorzystać do uzyskania pełnej kontroli nad portfelem ofiary – wyjaśnia Aleksander Chailytko, menedżer ds. cyberbezpieczeństwa, badań i innowacji w Check Point Software.

Check Point Research poinformowało o zdarzeniu programistów Ever Surf, którzy naprawili błąd. Firma poinformowała, że nie rekomenduje korzystania z wersji webowej aplikacji, która jest przestarzała i powinna służyć jednie celom programistycznym.
Podczas pracy z kryptowalutami zawsze trzeba być ostrożnym: należy upewniać się, że urządzenie jest wolne od złośliwego oprogramowania, nie można otwierać podejrzanych linków, trzeba aktualizować system operacyjny i oprogramowanie antywirusowe. Pomimo faktu, że wykryta przez nas luka została załatana w nowej wersji portfela Ever Surf na komputery stacjonarne, użytkownicy mogą napotkać inne zagrożenia, takie jak luki w zdecentralizowanych aplikacjach lub ogólne zagrożenia, takie jak oszustwa, phishing – dodaje ekspert Check Pointa.

Eksperci zwracają uwagę na fakt, iż transakcje blockchain są nieodwracalne. W blockchain, w przeciwieństwie do banku, nie można zablokować skradzionej karty/portfela ani zakwestionować transakcji. Jeśli klucze do portfela zostaną skradzione, fundusze kryptograficzne mogą stać się łatwym łupem dla cyberprzestępców; nikt z kolei nie pomoże nam w odzyskaniu środków.

Aby zapobiec kradzieży kluczy, Check Point Research zaleca, aby nie otwierać podejrzanych linków, zwłaszcza jeśli otrzymaliśmy je od nieznajomych, stale aktualizować system operacyjny i oprogramowanie antywirusowe, nie pobierać oprogramowania i rozszerzeń przeglądarki z niezweryfikowanych źródeł.

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: