Popularny portfel kryptowalut został porzucony po zidentyfikowaniu luki w zabezpieczeniach, która mogła pozwolić cyberprzestępcom na drenaż tokenów z kont.
Jak odkryli badacze z firmy Check Point, internetowa wersja portfela blockchain firmy Everscale (znanego jako Ever Surf) miała stosunkowo prostą wadę, która umożliwiała przestępcom wyciek prywatnych kluczy i fraz początkowych przechowywanych w pamięci masowej.
Aby to zrobić, musieliby najpierw uzyskać zaszyfrowane klucze do portfela, co zwykle odbywa się za pośrednictwem nieuczciwych rozszerzeń przeglądarki, złośliwego oprogramowania kradnącego informacje lub phishingu.
Po uzyskaniu zaszyfrowanych kluczy osoby atakujące mogły użyć prostego skryptu do odszyfrowania. Luka umożliwiła odszyfrowanie w „zaledwie kilka minut na sprzęcie konsumenckim” – wyjaśnili naukowcy.
drogie zęby
Firma CPR ujawniła lukę programistom Ever Surf, którzy następnie opublikowali wersję komputerową, która łagodzi lukę, podała firma w komunikacie prasowym. Wersja internetowa została oznaczona jako przestarzała i przeznaczona wyłącznie do celów rozwojowych.
Frazy początkowe z kont, które przechowują rzeczywistą wartość w kryptowalutach, nie powinny być używane w internetowej wersji Ever Surf, ostrzegają naukowcy.
„Everscale jest wciąż na wczesnym etapie rozwoju. Założyliśmy, że tak młody produkt może zawierać luki w zabezpieczeniach” – powiedział Alexander Chailytko, szef działu cyberbezpieczeństwa, badań i innowacji w Check Point Software.
„Pracując z kryptowalutami, zawsze należy zachować ostrożność, upewnić się, że urządzenie jest wolne od złośliwego oprogramowania, nie otwierać podejrzanych linków, aktualizować system operacyjny i oprogramowanie antywirusowe. Mimo że wykryta przez nas luka została naprawiona w nowej wersji desktopowej portfela Ever Surf, użytkownicy mogą napotkać inne zagrożenia, takie jak luki w zdecentralizowanych aplikacjach lub ogólne zagrożenia, takie jak oszustwa, phishing.
Ever Surf opisuje się jako wieloplatformowy komunikator, przeglądarka blockchain i portfel kryptograficzny dla sieci blockchain Everscale. Obecnie ma ponad 669.000 XNUMX aktywnych kont na całym świecie.
Aby zachować bezpieczeństwo, użytkownicy nie powinni wchodzić w podejrzane linki, zwłaszcza te wysyłane przez nieznajomych, zawsze aktualizować system operacyjny i oprogramowanie antywirusowe oraz nie powinni pobierać żadnego oprogramowania ani rozszerzeń przeglądarki przed zweryfikowaniem tożsamości źródła.