20.8 C
Athens
Τετάρτη, 18 Μαΐου, 2022

Ελάττωμα ασφαλείας στο blockchain Everscale Wallet θα μπορούσε να «ανοίξει» το πορτοφόλι στους χάκερς

Η Check Point Research (CPR) εντόπισε μια ευπάθεια ασφαλείας στο blockchain wallet της Everscale. Σε περίπτωση εκμετάλλευσης, η ευπάθεια θα έδινε σε έναν εισβολέα τον πλήρη έλεγχο του πορτοφολιού του θύματος και των επακόλουθων κεφαλαίων. Η ευπάθεια ανακαλύφθηκε στη διαδικτυακή έκδοση του πορτοφολιού της Everscale, γνωστή ως Ever Surf.

Διαθέσιμο στο Google Play και στο Apple iOS Store, το Ever Surf είναι ένα cross-platform messenger, ένα πρόγραμμα περιήγησης blockchain και ένα πορτοφόλι κρυπτονομισμάτων για το δίκτυο blockchain της Everscale.

H CPR αποδεικνύει ότι ήταν δυνατό για έναν εισβολέα να αποκρυπτογραφήσει ιδιωτικά κλειδιά και να καλλιεργήσει φράσεις

Το δίκτυο blockchain της Everscale έχει πραγματοποιήσει 31,6 εκατομμύρια συναλλαγές και διαθέτει πάνω από 669.000 λογαριασμούς παγκοσμίως. Είναι μια πλατφόρμα έξυπνων συμβολαίων που βασίζεται στο προηγούμενο project blockchain TON του Telegram.

 

Μεθοδολογία επίθεσης

Εκμεταλλευόμενος την ευπάθεια, ένας εισβολέας μπορούσε να αποκρυπτογραφήσει τα ιδιωτικά κλειδιά και τις φράσεις εκκίνησης που είναι αποθηκευμένα στην τοπική αποθήκευση του προγράμματος περιήγησης.

Η CPR περιέγραψε την πιθανή μεθοδολογία επίθεσης ως εξής:

  1. Λήψη των κρυπτογραφημένων κλειδιών του πορτοφολιού. Συνήθως, οι επιτιθέμενοι χρησιμοποιούν κακόβουλες επεκτάσεις του προγράμματος περιήγησης, κακόβουλο λογισμικό infostealer ή απλώς phishing για να αποκτήσουν τα κλειδιά.
  2. Αποκρυπτογράφηση των κλειδιών με την εκτέλεση ενός απλού σεναρίου. Με τη βοήθεια της ευπάθειας που ανακαλύφθηκε, η αποκρυπτογράφηση διαρκεί μόλις δύο λεπτά σε ένα hardware καταναλωτικού επιπέδου.
  3. Κλοπή χρημάτων από το πορτοφόλι.

Responsible Disclosure

Η CPR αποκάλυψε την ευπάθεια στους προγραμματιστές του Ever Surf, οι οποίοι στη συνέχεια κυκλοφόρησαν μια έκδοση για υπολογιστές γραφείου που την μετριάζει. Η διαδικτυακή έκδοση έχει πλέον κηρυχθεί απαρχαιωμένη και θα πρέπει να χρησιμοποιείται μόνο για σκοπούς ανάπτυξης.

Η καλλιέργεια φράσεων από λογαριασμούς που αποθηκεύουν πραγματική αξία σε κρυπτογράφηση δεν θα πρέπει να χρησιμοποιούνται στη διαδικτυακή έκδοση του Ever Surf. Η Ever Surf εξέδωσε μια δήλωση που μπορείτε να διαβάσετε στη δημοσίευση της CPR.

Ο Alexander Chailytko, Cyber Security, Research & Innovation Manager στην Check Point Software ανέφερε ότι «ανακαλύψαμε μια ευπάθεια στο δημοφιλές πορτοφόλι blockchain Everscale, εξαιτίας της οποίας οι κωδικοί του πορτοφολιού μπορούν εύκολα να αποκρυπτογραφηθούν από έναν εισβολέα. Η κατοχή των κλειδιών σημαίνει πλήρη έλεγχο του πορτοφολιού του θύματος και, ως εκ τούτου, των κεφαλαίων. Το Everscale είναι ο τεχνολογικός διάδοχος του δικτύου TON, το οποίο αναπτύχθηκε από την ομάδα της Telegram.

Το Everscale βρίσκεται ακόμη σε πρώιμο στάδιο ανάπτυξης

Υποθέσαμε ότι μπορεί να υπάρχουν τρωτά σημεία σε ένα τόσο νεαρό προϊόν. Ήμασταν επίσης περίεργοι για το πώς υλοποιείται η προστασία των κλειδιών στο πιο δημοφιλές πορτοφόλι για αυτό το blockchain. Το proof of concept της CPR παρουσιάζει διάφορους φορείς επίθεσης που μπορούν να οδηγήσουν έναν εισβολέα στην απόκτηση ιδιωτικών κλειδιών και φράσεων σπόρου σε καθαρό κείμενο, τα οποία μπορούν στη συνέχεια να χρησιμοποιηθούν για να αποκτήσουν πλήρη έλεγχο του πορτοφολιού του θύματος.

Όταν εργάζεστε με κρυπτονομίσματα, πρέπει πάντα να είστε προσεκτικοί, να διασφαλίζετε ότι η συσκευή σας είναι απαλλαγμένη από κακόβουλο λογισμικό, να μην ανοίγετε ύποπτους συνδέσμους, να διατηρείτε ενημερωμένο το λειτουργικό σύστημα και το λογισμικό προστασίας από ιούς. Παρά το γεγονός ότι η ευπάθεια που εντοπίσαμε έχει επιδιορθωθεί στη νέα έκδοση desktop του πορτοφολιού Ever Surf, οι χρήστες ενδέχεται να αντιμετωπίσουν άλλες απειλές, όπως ευπάθειες σε αποκεντρωμένες εφαρμογές ή γενικές απειλές όπως απάτη, phishing».

Cyber Safety Tips

Υπενθυμίζεται ότι οι συναλλαγές blockchain είναι μη αναστρέψιμες. Στο blockchain, σε αντίθεση με μια τράπεζα, δεν μπορεί κάποιος να μπλοκάρει μια κλεμμένη κάρτα ή να αμφισβητήσει μια συναλλαγή. Εάν κλαπούν τα κλειδιά για το πορτοφόλι, τα κρυπτογραφικά  κεφάλαια μπορεί να γίνουν εύκολη λεία για τους εγκληματίες του κυβερνοχώρου και κανείς δεν μπορεί να βοηθήσει να επιστραφούν τα χρήματα πίσω.

Για να αποτρέψετε την κλοπή των κλειδιών, η Check Point συνιστά:

  • Μην ακολουθείτε ύποπτους συνδέσμους, ειδικά αν προέρχονται από αγνώστους. 
  • Διατηρείτε ενημερωμένο το λειτουργικό σας σύστημα και το λογισμικό προστασίας από ιούς
  • Μην κατεβάζετε λογισμικό και επεκτάσεις του προγράμματος περιήγησης από μη επαληθευμένες πηγές

Κοινοποιηση αρθρου

Τελευταια Νεα

Προσφορές για την Παγκόσμια Ημέρα Τηλεπικοινωνιών σε Cosmote και Γερμανό

Mε προσφορές σε προϊόντα τεχνολογίας γιορτάζουν και φέτος η COSMOTE και ο ΓΕΡΜΑΝΟΣ την Παγκόσμια Ημέρα Τηλεπικοινωνιών (17/5). Έως και τις 21 Μαΐου, οι...

Emirates: Nέα εμπειρία πτήσης με την Premium Οικονομική Θέση

  Η Premium Οικονομική Θέση της Emirates θα είναι διαθέσιμη σε πτήσεις υψηλής ζήτησης με αεροσκάφη A380 προς τα διεθνή αεροδρόμια Χίθροου στο Λονδίνο,...

Διαθέσιμη και στα αγγλικά η ψηφιακή βεβαίωση εγγράφου και ιδιωτικού συμφωνητικού

Τη δυνατότητα να βεβαιώνεται ψηφιακά στα αγγλικά το γνήσιο της υπογραφής έχουν από σήμερα οι πολίτες. Πρόκειται για υπηρεσία η οποία διατίθεται μέσω του...

Airbus: Eπέλεξε την Thales για το νέο σύστημα διαχείρισης πτήσεων

  Η Airbus επέλεξε την Thales για να εξοπλίσει τα αεροπλάνα της πολιτικής αεροπορίας με το πιο ισχυρό και καινοτόμο σύστημα διαχείρισης πτήσεων της...

Θεσσαλονίκη «Έξυπνη πόλη»: Αντιμετώπιση κρίσεων με σύστημα επικοινωνίας από τη Nova – Wind

Η Nova – Wind, μέλος της United Group, του κορυφαίου παρόχου τηλεπικοινωνιών και media στη Νοτιοανατολική Ευρώπη, ένωσε τις δυνάμεις της με τις εταιρείες...