Un portefeuille de crypto-monnaie populaire a été abandonné après l'identification d'une vulnérabilité qui aurait pu permettre aux acteurs de la menace de drainer les jetons des comptes.
Comme l'ont découvert les chercheurs de Check Point, la version Web du portefeuille blockchain d'Everscale (connu sous le nom d'Ever Surf) souffrait d'une faille relativement simple qui permettait aux criminels de divulguer des clés privées et des phrases de point de départ stockées dans les paramètres régionaux du navigateur.
Pour ce faire, ils auraient d'abord dû obtenir les clés cryptées du portefeuille, ce qui se fait généralement via des extensions de navigateur malveillantes, des logiciels malveillants voleurs d'informations ou du phishing.
Après avoir obtenu les clés cryptées, les attaquants auraient pu utiliser un simple script pour effectuer le décryptage. La vulnérabilité a rendu le décryptage possible en "quelques minutes, sur du matériel grand public", ont expliqué les chercheurs.
dents chères
CPR a révélé la vulnérabilité aux développeurs d'Ever Surf, qui ont ensuite publié une version de bureau qui atténue la faille, a déclaré la société dans un communiqué de presse. La version Web a été marquée comme obsolète et à des fins de développement uniquement.
Les phrases de départ des comptes qui stockent une valeur réelle dans la crypto ne doivent pas être utilisées dans la version Web d'Ever Surf, ont averti les chercheurs.
« Everscale en est encore aux premiers stades de développement. Nous avons supposé qu'il pourrait y avoir des vulnérabilités dans un produit aussi jeune », a déclaré Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l'innovation chez Check Point Software.
"Lorsque vous travaillez avec des crypto-monnaies, vous devez toujours être prudent, assurez-vous que votre appareil est exempt de logiciels malveillants, n'ouvrez pas de liens suspects, maintenez votre système d'exploitation et votre logiciel antivirus à jour. Même si la vulnérabilité que nous avons trouvée a été corrigée dans le nouvelle version de bureau du portefeuille Ever Surf, les utilisateurs peuvent rencontrer d'autres menaces telles que des vulnérabilités dans les applications décentralisées ou des menaces générales telles que la fraude, le phishing.
Ever Surf se décrit comme un messager multiplateforme, un navigateur blockchain et un portefeuille crypto pour le réseau blockchain Everscale. Il compte actuellement plus de 669.000 XNUMX comptes actifs dans le monde.
Pour rester en sécurité, les utilisateurs ne doivent pas suivre les liens suspects, en particulier ceux envoyés par des étrangers, toujours mettre à jour leur système d'exploitation et leur logiciel antivirus, et ne doivent télécharger aucun logiciel ou extension de navigateur avant de vérifier l'identité de la source.