Check Point 发现可能导致加密货币盗窃的网络漏洞

Check Point Research 的威胁猎手表示，在 Ever Surf 加密货币钱包的浏览器版本中检测到的一个缺陷可能会让利用它的黑客完全控制目标用户的钱包。

研究人员周一在一篇博文中写道，安全漏洞使威胁参与者可以解密在浏览器本地存储中发现的私钥和助记词，从而打开破解受害者钱包并访问存储在那里的加密货币的大门。

“由于浏览器的本地存储不受保护，存储在那里的数据必须安全加密，”他们写道。“尽管 Surf 使用可靠的密码库进行密钥派生和加密，但网页版 Surf 中的敏感数据似乎没有得到足够的保护。”

他们能够运行的场景显示“所发现的问题组合呈现出几种攻击向量，这些攻击向量可能导致攻击者以明文形式获取私钥和​​种子短语，然后可用于获得对受害者钱包的完全控制权。 "

Check Point 的研究将另一个焦点放在了区块链和加密货币这个仍然新兴但快速发展的领域中出现的日益严重的安全问题上。

Ever Surf 在Everscale（前身为 Free TON）区块链中扮演多个角色。它不仅是一个加密钱包，它还可以作为一种使用户聊天的信使服务、一种发送和接收不可替代令牌 (NFT) 的方式以及作为区块链浏览器。

此外，它可以运行 Everscale 去中心化应用程序（dApps），这些应用程序不需要与网络服务器等集中式基础设施进行通信，并且可以直接与区块链或通过浏览器扩展程序（如 Metamask）进行交互。

据 Everscale 称，它拥有近 67 万个账户，处理了 3190 万笔交易。

在 Google Play Market 和 Apple Store 网站上都有 Ever Surf 的移动应用程序版本，以及在任何平台上运行的网络版本。在网络版本中发现了该漏洞。

在 Ever Surf 中，签署交易所需的密钥仅存储在用户的设备上，涉及区块链的操作仅在客户端执行。因此，它没有需要登录名和密码的注册。

当个人第一次运行该应用程序时，我们会鼓励他们创建一个新钱包，Ever Surf 会生成一个助记词以及公钥和私钥。同时，用户被告知创建一个六位数的 PIN 码以登录应用程序并确认交易

密钥和助记词存储在网络浏览器的本地存储中，不受保护。

“这意味着可以物理访问计算机或任何应用程序或恶意软件（例如信息窃取者）的人可以获得这些数据，”威胁猎手写道。“此外，浏览器扩展程序可以访问[本地存储]，然后可以泄漏存储的数据。......因此，不能认为浏览器的本地存储足够安全。”

你注册吗？
需要注册的网站通常不依赖存储在 cookie 或本地存储中的数据，但也可能会检查 Web 浏览器和用户的 IP 地址。他们还可能需要额外的用户验证。但是，使用 Ever Surf，用于控制用户钱包的数据存储在计算机上，因此唯一的保护是强加密。

在运行分析中，Check Point 能够证明信息窃取恶意软件可以收集大量加密密钥和种子短语，并且可以使用蛮力技术来解密信息。从那里，攻击者将获得对钱包的控制权。研究人员能够从浏览器的本地存储中获取密钥库，并在 38 分钟内解密信息。

数字资产领域正迅速成为对威胁团体有吸引力的领域，在这个领域，安全性仍在努力追赶创新，而技术不高的用户的需求正在飙升。例如，美国政府机构上周就臭名昭著的 Lazarus 网络犯罪集团发出警报，将其重点扩大到加密货币和区块链领域。

网络安全供应商 Digital Shadows 的高级网络威胁情报分析师 Chris Morgan 表示：“总体而言，加密空间可以被视为存在于基本上不受监管的环境中的机会旋风；这可能会使热情但天真的消费者面临恶意活动的风险。”登记册。

“随着加密货币投资者的大笔资金——但通常存储在不安全的位置——威胁行为者自然会引导他们的活动以针对此类环境。”

Check Point 研究人员警告用户不要点击可疑链接——尤其是陌生人发送的链接；保持他们的操作系统和防病毒软件更新；并且不要从未经验证的来源下载软件和浏览器扩展。