Một lỗ hổng bảo mật đã được tiết lộ trong phiên bản web của ví Ever Surf, nếu được vũ khí hóa thành công, có thể cho phép kẻ tấn công giành toàn quyền kiểm soát ví của nạn nhân.
Công ty an ninh mạng Check Point của Israel cho biết trong một báo cáo được chia sẻ với The Hacker News: “Bằng cách khai thác lỗ hổng, có thể giải mã các khóa cá nhân và các cụm từ hạt giống được lưu trữ trong bộ nhớ cục bộ của trình duyệt. “Nói cách khác, những kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân.”
Ever Surf là một ví tiền điện tử cho chuỗi khối Everscale (trước đây là FreeTON), cũng đóng vai trò như một người đưa tin đa nền tảng và cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận các mã thông báo không thể thay thế (NFT). Nó được cho là có khoảng 669.700 tài khoản trên khắp thế giới.
Bằng các phương tiện tấn công khác nhau như tiện ích mở rộng trình duyệt độc hại hoặc liên kết lừa đảo, lỗ hổng này khiến cho nó có thể lấy được các khóa mã hóa của ví và các cụm từ hạt giống được lưu trữ trong bộ nhớ cục bộ của trình duyệt, sau đó có thể bị buộc phải brute để bòn rút tiền.
Do thông tin trong bộ nhớ cục bộ không được mã hóa, nó có thể bị truy cập bởi các tiện ích bổ sung của trình duyệt giả mạo hoặc phần mềm độc hại ăn cắp thông tin có khả năng thu thập dữ liệu đó từ các trình duyệt web khác nhau.
Sau khi tiết lộ có trách nhiệm, một ứng dụng dành cho máy tính để bàn mới đã được phát hành để thay thế phiên bản web dễ bị tấn công, với phiên bản sau này hiện được đánh dấu là không được dùng nữa và chỉ được sử dụng cho mục đích phát triển.
Alexander Chailytko của Check Point cho biết: “Có chìa khóa có nghĩa là toàn quyền kiểm soát ví của nạn nhân, và do đó có tiền. “Khi làm việc với tiền điện tử, bạn luôn cần phải cẩn thận, đảm bảo thiết bị của bạn không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống vi-rút.”
“Mặc dù thực tế là lỗ hổng mà chúng tôi tìm thấy đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf, người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các mối đe dọa chung như gian lận, [and] lừa đảo. “
.
