Portfel Everscale z luką w zabezpieczeniach
2022-04-27 00:44
Portfel Everscale z luką w zabezpieczeniach © fot. mat. prasowe
Check Point Research poinformował o odkryciu luki w zabezpieczeniach portfela blockchain. Luka została odkryta w
internetowej wersji portfela Everscale, znanej jako Ever Surf. Wykorzystanie luki umożliwiłoby atakującemu przejęcie kontroli nad portfelem ofiary i jej środkami.
Przeczytaj także: Kolejna giełda NFT z lukami bezpieczeństwa
Everscale cieszy się ogromną popularnością. Do tej pory w sieci Everscale przeprowadzono łączne 31,6 miliona transakcji na ponad 669 tys. kont na całym świecie.Wykorzystując lukę, hakerzy mogli odszyfrować klucze prywatne oraz frazy początkowe, które są przechowywane w pamięci lokalnej przeglądarki. Zdaniem stojących za odkryciem analityków Check Point Research, atak mógł polegać na wykorzystaniu złośliwego rozszerzenia przeglądarki, które wykradałoby informacje lub wykorzystując phishing w celu zdobycia kluczy. Uruchamiając prosty skrypt wykorzystujący podatność, hakerzy mogli odszyfrować klucze w zaledwie kilka minut, wykorzystując do tego przeciętny komputer konsumencki. Deszyfrowanie oznacza w praktyce uzyskanie dostępu do funduszy portfela.
fot. mat. prasowe
Portfel Everscale z luką w zabezpieczeniach
Atakujący mógł odszyfrować klucze prywatne i frazy początkowe Everscale.
Odkryliśmy lukę w popularnym portfelu blockchain Everscale, dzięki której klucze portfela mogły być łatwo odszyfrowane przez atakującego. Posiadanie kluczy oznacza pełną kontrolę nad portfelem ofiary, a tym samym nad funduszami. Everscale jest technologicznym następcą sieci TON, która została opracowana przez zespół Telegram. Everscale wciąż jest we wczesnej fazie rozwoju. Założyliśmy, że w tak młodym produkcie mogą występować luki. Byliśmy ciekawi, jak funkcjonuje ochrona kluczy w najpopularniejszym portfelu tego blockchaina. Wprowadziliśmy kilka wektorów ataku, które mogły doprowadzić do tego, że atakujący uzyska klucze prywatne i frazy początkowe w postaci zwykłego tekstu, które następnie można wykorzystać do uzyskania pełnej kontroli nad portfelem ofiary – wyjaśnia Aleksander Chailytko, menedżer ds. cyberbezpieczeństwa, badań i innowacji w Check Point Software.
Check Point Research poinformowało o zdarzeniu programistów Ever Surf, którzy naprawili błąd. Firma poinformowała, że nie rekomenduje korzystania z wersji webowej aplikacji, która jest przestarzała i powinna służyć jednie celom programistycznym.
Podczas pracy z kryptowalutami zawsze trzeba być ostrożnym: należy upewniać się, że urządzenie jest wolne od złośliwego oprogramowania, nie można otwierać podejrzanych linków, trzeba aktualizować system operacyjny i oprogramowanie antywirusowe. Pomimo faktu, że wykryta przez nas luka została załatana w nowej wersji portfela Ever Surf na komputery stacjonarne, użytkownicy mogą napotkać inne zagrożenia, takie jak luki w zdecentralizowanych aplikacjach lub ogólne zagrożenia, takie jak oszustwa, phishing – dodaje ekspert Check Pointa.
Eksperci zwracają uwagę na fakt, iż transakcje blockchain są nieodwracalne. W blockchain, w przeciwieństwie do banku, nie można zablokować skradzionej karty/portfela ani zakwestionować transakcji. Jeśli klucze do portfela zostaną skradzione, fundusze kryptograficzne mogą stać się łatwym łupem dla cyberprzestępców; nikt z kolei nie pomoże nam w odzyskaniu środków.
Aby zapobiec kradzieży kluczy, Check Point Research zaleca, aby nie otwierać podejrzanych linków, zwłaszcza jeśli otrzymaliśmy je od nieznajomych, stale aktualizować system operacyjny i oprogramowanie antywirusowe, nie pobierać oprogramowania i rozszerzeń przeglądarki z niezweryfikowanych źródeł.
Przeczytaj także:
![Jak nie paść ofiarą ataku zero-click?]( "Jak nie paść ofiarą ataku zero-click? [© Amir Kaljikovic - Fotolia.com]")
Jak nie paść ofiarą ataku zero-click?
Jak nie paść ofiarą ataku zero-click?
oprac. : eGospodarka.pl
Więcej na ten temat:
blockchain, luki w zabezpieczeniach, luki, Everscale, technologia blockchain, ataki hakerów, cyberataki
Przeczytaj także
-
![Cyberprzestępcy atakują Windows przez open-source]( "Cyberprzestępcy atakują Windows przez open-source [© pixabay.com]")
Cyberprzestępcy atakują Windows przez open-source
-
![Wybory parlamentarne niosą ryzyko cyberataków. Znamy potencjalne scenariusze]( "Wybory parlamentarne niosą ryzyko cyberataków. Znamy potencjalne scenariusze [© pixabay.com]")
Wybory parlamentarne niosą ryzyko cyberataków. Znamy potencjalne scenariusze
-
![Hakerzy skorzystali z ponad 500 narzędzi i technik w 2022 roku]( "Hakerzy skorzystali z ponad 500 narzędzi i technik w 2022 roku")
Hakerzy skorzystali z ponad 500 narzędzi i technik w 2022 roku
-
![Czy smartwatche i smartbandy są bezpieczne?]( "Czy smartwatche i smartbandy są bezpieczne?")
Czy smartwatche i smartbandy są bezpieczne?
-
![Jak rozpoznać, że kamera internetowa została zhakowana?]( "Jak rozpoznać, że kamera internetowa została zhakowana? [© pixabay.com]")
Jak rozpoznać, że kamera internetowa została zhakowana?
-
![Laptopy Lenovo z lukami w zabezpieczeniach]( "Laptopy Lenovo z lukami w zabezpieczeniach [© pixabay.com]")
Laptopy Lenovo z lukami w zabezpieczeniach
-
![Kryptowaluty na celowniku hakerów, a blockchain nie taki bezpieczny.]( "Kryptowaluty na celowniku hakerów, a blockchain nie taki bezpieczny.")
Kryptowaluty na celowniku hakerów, a blockchain nie taki bezpieczny.
-
![Trojan bankowy Mamont podszywa się pod Google Chrome]( "Trojan bankowy Mamont podszywa się pod Google Chrome")
Trojan bankowy Mamont podszywa się pod Google Chrome
-
![Posiadacze kryptowalut na celowniku hakerów. Jak mogą się bronić?]( "Posiadacze kryptowalut na celowniku hakerów. Jak mogą się bronić? [© Bastian Riccardi z Pixabay]")
Posiadacze kryptowalut na celowniku hakerów. Jak mogą się bronić?
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
ROBYG z nowym etapem Portu Popowice we Wrocławiu
