Falha de segurança na carteira da Everscale pode ter permitido controle dos fundos por parte de cibercriminosos

A tecnologia blockchain e os aplicativos descentralizados (dAPPs) oferecem aos usuários uma série de vantagens. Por exemplo, os usuários podem utilizar o serviço sem criar uma conta e implementar como um aplicativo de página única escrito em JavaScript. Esse tipo de aplicativo não requer comunicação com uma infraestrutura centralizada, como um servidor web, e pode interagir diretamente com o blockchain ou usando uma extensão de navegador como o Metamask.

Nesse caso, o usuário é identificado por meio de chaves que são armazenadas apenas em uma máquina local dentro de uma extensão do navegador ou de uma carteira web. Se um aplicativo descentralizado ou uma carteira armazena dados confidenciais localmente, ele deve garantir que esses dados sejam protegidos de forma confiável. Na maioria dos casos, os dAPPs são executados dentro do navegador e, portanto, podem ser vulneráveis a ataques como XSS.

Esta pesquisa descreve a vulnerabilidade encontrada na versão web do Ever Surf, uma carteira para o blockchain Everscale (anteriormente Free TON). Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as fórmulas iniciais que são guardadas no armazenamento local do navegador. Em outras palavras, os atacantes podem obter controle total sobre as carteiras das vítimas.

Divulgação responsável e colaboração com a Everscale

A CPR divulgou a vulnerabilidade para os desenvolvedores do Ever Surf, que lançaram uma versão para desktop que mitiga essa falha de segurança. A versão da web foi declarada obsoleta e deve ser usada apenas para fins de desenvolvimento. Fórmulas de contas que armazenam valor real em criptografia não devem ser usadas na versão web do Ever Surf.

Metodologia do ataque

Ao explorar a vulnerabilidade, foi possível para um cibercriminoso descriptografar as chaves privadas e as chaves de inicialização armazenadas na memória local do navegador. A Check Point Research resumiu a metodologia do ataque potencial da seguinte forma:

1. Obtenção das chaves criptografadas da carteira. Normalmente, os atacantes utilizam extensões de navegador maliciosas, malware Infostealer ou apenas phishing para obter as chaves.
2. Descriptografar as chaves executando um script simples. Com a ajuda da vulnerabilidade descoberta, a descriptografia leva apenas alguns minutos em um hardware de uso do consumidor.
3. Roubar fundos da carteira.

“Descobrimos uma vulnerabilidade na popular carteira blockchain Everscale que permitia a um cibercriminoso quebrar facilmente suas chaves. Ter as chaves significa controle total sobre a carteira da vítima e, portanto, os fundos. Everscale é o sucessor tecnológico da rede TON, que foi desenvolvida pela equipe do Telegram. Ao mesmo tempo, Everscale ainda está nos estágios iniciais de desenvolvimento. Presumimos que poderia haver vulnerabilidades em um produto tão jovem. Também estávamos curiosos sobre como a proteção de chaves é implementada na carteira mais popular para este blockchain. A prova de conceito da CPR apresenta vários vetores de ataque que podem levar um cibercriminoso a obter chaves privadas e fórmulas iniciais em texto não criptografado, que podem ser usadas para obter controle total sobre a carteira da vítima”, destaca Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Software Technologies.

Chailytko também ressalta que, “ao trabalhar com criptomoedas, o usuário sempre precisa ter cuidado, garantir que seu dispositivo esteja livre de malware, não abrir links suspeitos, manter o sistema operacional e software antivírus atualizados. Apesar do fato de que a vulnerabilidade encontrada foi corrigida na nova versão para desktop da carteira Ever Surf, os usuários podem encontrar outras ameaças, como vulnerabilidades em aplicativos descentralizados ou ameaças gerais, como fraude, phishing”.

Dicas de segurança cibernética

Os pesquisadores da Check Point Research alertam que as transações blockchain são irreversíveis. No blockchain, diferentemente de um banco, o usuário não pode bloquear um cartão roubado ou contestar uma transação. Se as chaves da carteira forem roubadas, os fundos de criptomoedas podem se tornar alvos fáceis para os cibercriminosos, e ninguém pode ajudar a devolver o dinheiro. Seguem recomendações básicas para evitar o roubo das chaves:

• Não seguir links suspeitos, especialmente se foram recebidos de estranhos.
• Manter o sistema operacional e software antivírus atualizados.
• Não baixar software e extensões de navegador de fontes não verificadas ou desconhecidas.