Falha de segurança em carteira digital permitia controle de criptoativos por criminosos
CPR identificou uma vulnerabilidade de segurança na carteira blockchain da Everscale que, se explorada, possibilitaria ao atacante o controle total sobre a carteira da vítima e os fundos subsequentes
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, identificou uma vulnerabilidade de segurança na carteira de criptoativos da Everscale. Se essa violação tivesse sido explorada, os cibercriminosos teriam obtido controle total da carteira e dos fundos financeiros da vítima.
LEIA MAIS: Senado aprova regulamentação de criptomoedas
A vulnerabilidade foi descoberta na versão web da carteira Everscale, conhecida como Ever Surf. Disponível na Google Play Store e na Apple Store, o Ever Surf é um serviço de mensagens multiplataforma e também funciona como um navegador para a blockchain (serviço que permite o uso de criptomoedas) e para a carteira digital. A Everscale já completou 31,6 milhões de transações e possui em torno de 670 mil contas em todo o mundo, para se ter a medida do tamanho da empresa.
A CPR explica que a tecnologia blockchain e os aplicativos descentralizados (dAPPs) oferecem aos usuários uma série de vantagens. Por exemplo, os usuários podem utilizar o serviço sem criar uma conta e implementar como um aplicativo de página única escrito em JavaScript. Esse tipo de aplicativo não requer comunicação com uma infraestrutura centralizada, como um servidor web, e pode interagir diretamente com o blockchain ou usando uma extensão de navegador como o Metamask.
Nesse caso, o usuário é identificado por meio de chaves que são armazenadas apenas em uma máquina local dentro de uma extensão do navegador ou de uma carteira web. Se um aplicativo descentralizado ou uma carteira armazena dados confidenciais localmente, ele deve garantir que esses dados sejam protegidos de forma confiável. Na maioria dos casos, os dAPPs são executados dentro do navegador e, portanto, podem ser vulneráveis a ciberataques.
Como poderia ter ocorrido o ataque
Para começar, a CPR não encontrou nenhum vestígio de que um cibercriminoso tenha se aproveitado da vulnerabilidade de segurança para tomar o controle dos criptoativos de alguém. A empresa apenas descobriu que era possível que isso fosse feito.
Ao explorar a vulnerabilidade, foi possível descobrir como descriptografar as chaves privadas e as chaves de inicialização armazenadas na memória local do navegador. A Check Point Research resumiu a metodologia do ataque potencial da seguinte forma:
- Obtenção das chaves criptografadas da carteira. Normalmente, os atacantes utilizam extensões de navegador maliciosas, vírus que roubam informações ou apenas um ataque de phishing para obter as chaves.
- Descriptografar as chaves executando um código simples. Com a ajuda da vulnerabilidade descoberta, a descriptografia leva apenas alguns minutos em um computador comum.
- Roubar fundos da carteira.
A pesquisa descreve a vulnerabilidade encontrada na versão web do Ever Surf, uma carteira para o blockchain Everscale (anteriormente Free TON). Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as fórmulas iniciais que são guardadas no armazenamento local do navegador. Em outras palavras, os atacantes podem obter controle total sobre as carteiras das vítimas.
A CPR divulgou a vulnerabilidade para os desenvolvedores do Ever Surf, que lançaram uma versão para desktop que mitiga essa falha de segurança. A versão da web foi declarada obsoleta pela própria empresa e deve ser usada apenas para fins de desenvolvimento. Contas que armazenam valor real de criptoativos não devem ser usadas na versão web do Ever Surf, diz a Ever Surf.
Dicas de segurança com criptoativos
Os pesquisadores da Check Point Research alertam que as transações blockchain são irreversíveis. No blockchain, diferentemente de um banco, o usuário não pode bloquear um cartão roubado ou contestar uma transação. Se as chaves da carteira forem roubadas, os fundos de criptomoedas podem se tornar alvos fáceis para os cibercriminosos e ninguém pode ajudar a devolver o dinheiro.
Ao trabalhar com criptomoedas, o usuário sempre precisa ter cuidado, garantir que seu dispositivo esteja livre de malware, não abrir links suspeitos, manter o sistema operacional e software antivírus atualizados. Apesar do fato de que a vulnerabilidade encontrada foi corrigida na nova versão para desktop da carteira Ever Surf, os usuários podem encontrar outras ameaças, como vulnerabilidades em aplicativos descentralizados ou ameaças gerais, como fraude, phishing.
Seguem recomendações básicas para evitar o roubo das chaves e manter em segurança seus criptoativos:
- Não seguir links suspeitos, especialmente se foram recebidos de estranhos.
- Manter o sistema operacional e software antivírus atualizados.
- Não baixar software e extensões de navegador de fontes não verificadas ou desconhecidas.