Eine beliebte Kryptowährungs-Wallet wurde aufgegeben, nachdem eine Schwachstelle entdeckt wurde, die es Bedrohungsakteuren hätte ermöglichen können, Token von Konten abzuheben.
Wie die Forscher von Check Point herausfanden, litt die webbasierte Version der Blockchain-Wallet von Everscale (bekannt als Ever Surf) unter einem relativ einfachen Fehler, der es Kriminellen ermöglichte, private Schlüssel und im Browser-Gebietsschema gespeicherte Startpunktphrasen preiszugeben.
Dazu hätten sie zunächst an die verschlüsselten Schlüssel der Wallet gelangen müssen, was normalerweise durch betrügerische Browsererweiterungen, Datendiebstahl-Malware oder Phishing geschieht.
Nach Erhalt der verschlüsselten Schlüssel hätten die Angreifer mithilfe eines einfachen Skripts die Entschlüsselung durchführen können. Die Sicherheitslücke ermöglichte die Entschlüsselung in „nur wenigen Minuten auf handelsüblicher Hardware“, erklärten die Forscher.
teure Zähne
CPR teilte die Schwachstelle den Entwicklern von Ever Surf mit, die daraufhin eine Desktop-Version herausbrachten, die den Fehler behebt, teilte das Unternehmen in einer Pressemitteilung mit. Die Webversion wurde als veraltet gekennzeichnet und dient nur zu Entwicklungszwecken.
Die Seed-Phrasen von Konten, die reale Werte in Krypto speichern, sollten in der Webversion von Ever Surf nicht verwendet werden, warnten Forscher.
„Everscale befindet sich noch in einem frühen Entwicklungsstadium. Wir gehen davon aus, dass ein so junges Produkt Schwachstellen aufweisen könnte“, sagte Alexander Chailytko, Leiter Cybersicherheit, Forschung und Innovation bei Check Point Software.
„Wenn Sie mit Kryptowährungen arbeiten, sollten Sie immer vorsichtig sein, sicherstellen, dass Ihr Gerät frei von Malware ist, keine verdächtigen Links öffnen, das Betriebssystem und die Antivirensoftware auf dem neuesten Stand halten. Auch wenn die von uns gefundene Schwachstelle in der neuen Desktop-Version behoben wurde.“ Bei der Nutzung der Ever Surf-Wallet können Benutzer auf andere Bedrohungen stoßen, z. B. auf Schwachstellen in dezentralen Anwendungen oder auf allgemeine Bedrohungen wie Betrug und Phishing.
Ever Surf wird als plattformübergreifender Messenger, Blockchain-Browser und Krypto-Wallet für das Everscale-Blockchain-Netzwerk beschrieben. Derzeit verfügt es weltweit über mehr als 669.000 aktive Konten.
Aus Sicherheitsgründen sollten Benutzer verdächtigen Links nicht folgen, insbesondere solchen von Fremden, ihr Betriebssystem und ihre Antivirensoftware stets aktualisieren und keine Software oder Browsererweiterung herunterladen, bevor sie die Identität der Quelle überprüft haben.