Lỗ hổng nguy cấp trong ví điện tử khiến người dùng mất tiền
An toàn thông tin - Ngày đăng : 07:45, 27/04/2022
Ever Surf là một ví tiền điện tử cho loại tiền điện tử blockchain Everscale (trước đây là FreeTON), đóng vai trò như nền tảng đa ứng dụng và cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận loại tiền mã hóa duy nhất, không thể thay thể (non-fungible token - NFT). Nó được cho là có khoảng 669.700 tài khoản trên khắp thế giới.
Công ty an ninh mạng Check Point của Israel cho biết: "Bằng cách khai thác lỗ hổng, tin tặc có thể giải mã các khóa cá nhân và các cụm từ bí mật (seed phrase) được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, những kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân."
Bằng các hướng tấn công khác nhau như các tiện ích mở rộng, lỗ hổng có thể khiến cho trình duyệt độc hại hoặc những liên kết lừa đảo lấy được các khóa mã hóa của ví và các seed phrase (hạt giống - tập hợp các từ khoá dùng để truy cập ví tiền điện tử) được lưu trữ trong bộ nhớ nội bộ của trình duyệt, sau đó thực hiện tấn công brute-force (thử mật khẩu đúng sai) để rút tiền.
Do thông tin trong bộ nhớ nội bộ không được mã hóa nên nó có thể bị truy cập bởi các tiện ích bổ sung của trình duyệt giả mạo hoặc phần mềm độc hại đánh cắp thông tin có khả năng thu thập dữ liệu đó từ các trình duyệt web khác nhau.
Sau khi tiết lộ, một ứng dụng dành cho máy tính để bàn mới đã được phát hành để thay thế phiên bản web có lỗ hổng, phiên bản cũ không dùng nữa và chỉ được sử dụng cho mục đích phát triển.
Alexander Chailytko của Check Point cho biết: "Tin tặc có các khóa nghĩa là chúng có toàn quyền kiểm soát ví của nạn nhân nên khi làm việc với tiền điện tử, bạn luôn phải cẩn trọng, đảm bảo thiết bị của mình không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống virus.
Mặc dù thực tế là lỗ hổng mà chúng tôi tìm thấy đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf nhưng người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các mối đe dọa chung như gian lận, lừa đảo…"/.