A Check Point Research identificou uma vulnerabilidade de segurança na carteira blockchain da Everscale. Se essa violação tivesse sido explorada, os cibercriminosos teriam obtido controle total da carteira e dos fundos da vítima. A vulnerabilidade foi descoberta na versão web da carteira Everscale, conhecida como Ever Surf. Disponível na Google Play Store e na Apple Store, o Ever Surf é um serviço de mensagens multiplataforma, navegador blockchain e carteira de criptomoedas baseado na tecnologia blockchain. A Everscale completou 31,6 milhões de transações e possui em torno de 670 mil contas em todo o mundo.
A tecnologia blockchain e os aplicativos descentralizados (dAPPs) oferecem aos usuários uma série de vantagens. Por exemplo, os usuários podem utilizar o serviço sem criar uma conta e implementar como um aplicativo de página única escrito em JavaScript. Esse tipo de aplicativo não requer comunicação com uma infraestrutura centralizada, como um servidor web, e pode interagir diretamente com o blockchain ou usando uma extensão de navegador como o Metamask.
Nesse caso, o usuário é identificado por meio de chaves que são armazenadas apenas em uma máquina local dentro de uma extensão do navegador ou de uma carteira web. Se um aplicativo descentralizado ou uma carteira armazena dados confidenciais localmente, ele deve garantir que esses dados sejam protegidos de forma confiável. Na maioria dos casos, os dAPPs são executados dentro do navegador e, portanto, podem ser vulneráveis a ataques como XSS.
Esta pesquisa descreve a vulnerabilidade encontrada na versão web do Ever Surf, uma carteira para o blockchain Everscale (anteriormente Free TON). Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as fórmulas iniciais que são guardadas no armazenamento local do navegador. Em outras palavras, os atacantes podem obter controle total sobre as carteiras das vítimas.
Divulgação responsável e colaboração com a Everscale
A CPR divulgou a vulnerabilidade para os desenvolvedores do Ever Surf, que lançaram uma versão para desktop que mitiga essa falha de segurança. A versão da web foi declarada obsoleta e deve ser usada apenas para fins de desenvolvimento. Fórmulas de contas que armazenam valor real em criptografia não devem ser usadas na versão web do Ever Surf.
Metodologia do ataque
Ao explorar a vulnerabilidade, foi possível para um cibercriminoso descriptografar as chaves privadas e as chaves de inicialização armazenadas na memória local do navegador. A Check Point Research resumiu a metodologia do ataque potencial da seguinte forma:
1. Obtenção das chaves criptografadas da carteira. Normalmente, os atacantes utilizam extensões de navegador maliciosas, malware Infostealer ou apenas phishing para obter as chaves.
2. Descriptografar as chaves executando um script simples. Com a ajuda da vulnerabilidade descoberta, a descriptografia leva apenas alguns minutos em um hardware de uso do consumidor.
3. Roubar fundos da carteira.
“Descobrimos uma vulnerabilidade na popular carteira blockchain Everscale que permitia a um cibercriminoso quebrar facilmente suas chaves. Ter as chaves significa controle total sobre a carteira da vítima e, portanto, os fundos. Everscale é o sucessor tecnológico da rede TON, que foi desenvolvida pela equipe do Telegram. Ao mesmo tempo, Everscale ainda está nos estágios iniciais de desenvolvimento. Presumimos que poderia haver vulnerabilidades em um produto tão jovem. Também estávamos curiosos sobre como a proteção de chaves é implementada na carteira mais popular para este blockchain”, destaca Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Software Technologies.
Chailytko também ressalta que, “ao trabalhar com criptomoedas, o usuário sempre precisa ter cuidado, garantir que seu dispositivo esteja livre de malware, não abrir links suspeitos, manter o sistema operacional e software antivírus atualizados. Apesar do fato de que a vulnerabilidade encontrada foi corrigida na nova versão para desktop da carteira Ever Surf, os usuários podem encontrar outras ameaças, como vulnerabilidades em aplicativos descentralizados ou ameaças gerais, como fraude, phishing”.
Dicas de segurança cibernética
Os pesquisadores da Check Point Research alertam que as transações blockchain são irreversíveis. No blockchain, diferentemente de um banco, o usuário não pode bloquear um cartão roubado ou contestar uma transação. Se as chaves da carteira forem roubadas, os fundos de criptomoedas podem se tornar alvos fáceis para os cibercriminosos, e ninguém pode ajudar a devolver o dinheiro. Seguem recomendações básicas para evitar o roubo das chaves:
• Não seguir links suspeitos, especialmente se foram recebidos de estranhos;
• Manter o sistema operacional e software antivírus atualizados;
• Não baixar software e extensões de navegador de fontes não verificadas ou desconhecidas.
