Một lỗ hổng bảo mật đã được tiết lộ trong phiên bản web của ví Ever Surf, nếu được vũ khí hóa thành công, có thể cho phép kẻ tấn công giành toàn quyền kiểm soát ví của nạn nhân.
Công ty an ninh mạng Check Point của Israel cho biết trong một báo cáo được chia sẻ với The Hacker News: “Bằng cách khai thác lỗ hổng, có thể giải mã khóa cá nhân và seed phrase (thứ quan trọng cần nắm để tạo privare key) được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, những kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân.”
Ever Surf là một ví tiền điện tử cho chuỗi khối Everscale (trước đây là FreeTON), cũng đóng vai trò như đưa tin đa nền tảng và cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận các tài sản không thể thay thế (NFT). Nó được cho là có khoảng 669.700 tài khoản trên khắp thế giới.
Bằng các phương tiện tấn công khác nhau như tiện ích mở rộng trình duyệt độc hại hoặc liên kết lừa đảo, lỗ hổng này khiến cho nó có thể lấy được các khóa mã hóa của ví và các cụm seed phrase được lưu trữ trong bộ nhớ cục bộ của trình duyệt, sau đó có thể bị brute-forced để bòn rút tiền.
Do thông tin trong bộ nhớ cục bộ không được mã hóa, nó có thể bị truy cập bởi các tiện ích bổ sung của trình duyệt giả mạo hoặc phần mềm độc hại ăn cắp thông tin có khả năng thu thập dữ liệu đó từ các trình duyệt web khác nhau.
Sau khi tiết lộ có liên quan, một ứng dụng dành cho máy tính mới đã được phát hành để thay thế phiên bản web dễ bị tấn công, với phiên bản sau này hiện được đánh dấu là không được dùng nữa và chỉ được sử dụng cho mục đích phát triển.
Alexander Chailytko của Checkpoint cho biết: “Có chìa khóa có nghĩa là toàn quyền kiểm soát ví của nạn nhân, và do đó có tiền. “Khi làm việc với tiền điện tử, bạn luôn cần phải cẩn thận, đảm bảo thiết bị của bạn không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống vi-rút.”
“Mặc dù thực tế là lỗ hổng mà chúng tôi tìm thấy đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf, người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các mối đe dọa chung như fraud, [và] phishing.”
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://thehackernews.com/2022/04/critical-bug-in-everscale-wallet.html
