Un fallo de seguridad en el monedero de Everscale podría haber permitido a los ciberdelincuentes controlar sus fondos
Check Point Research ha demostrado que es posible que un ciberdelincuente descifre las claves privadas y sus frases semilla. El descifrado sólo necesita un par de minutos para actuar un equipo doméstico. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones de ciberseguridad a nivel mundial, ha identificado una vulnerabilidad de seguridad en la cartera de blockchain de Everscale. Si esta brecha se hubiese llegado a explotar, los ciberdelincuentes habrían logrado un control total del monedero de la víctima y de sus fondos. La vulnerabilidad se ha descubierto en la versión web del wallet de Everscale, conocida como Ever Surf. Disponible en Google Play Store y en la App Store de Apple, Ever Surf es un servicio de mensajería multiplataforma, un navegador de blockchain y un monedero de criptomonedas basado en este tipo de tecnología. Everscale ha realizado 31,6 millones de transacciones y tiene más de 669.000 cuentas en todo el mundo.
La tecnología blockchain y las aplicaciones descentralizadas (dAPPs) ofrecen a los internautas ventajas como poder utilizar el servicio sin crear una cuenta o implementar la aplicación como una sola página en JavaScript. Este tipo de aplicación no requiere comunicación con una infraestructura centralizada, como un servidor web, y puede interactuar de forma directa con blockchain o utilizando una extensión del navegador como Metamask.
En este caso, el usuario se identifica mediante claves que se almacenan únicamente en un equipo local dentro de una extensión del navegador o de un monedero web. Si una aplicación descentralizada o un wallet almacena datos sensibles a nivel individual, debe asegurarse de que estos datos están protegidos de forma fiable. En la mayoría de los casos, las dAPP se ejecutan dentro del navegador y, por tanto, son susceptibles a ataques como el XSS. Al explotar la vulnerabilidad, es posible descifrar las claves privadas y las fórmulas de compra que se guardan en el almacenamiento local del navegador. En otras palabras, los atacantes podrían obtener el control total de los monederos de las víctimas.
Divulgación responsable y colaboración con Everscale
Check Point Research ha revelado la vulnerabilidad a los desarrolladores de Ever Surf, quienes han publicado una versión de escritorio que mitiga esta amenaza. La versión web ha sido declarada obsoleta y sólo debe utilizarse con fines de desarrollo. Las fórmulas de las cuentas que almacenan valor real en criptografía no deben utilizarse en la versión web de Ever Surf.
Metodología de ataque
Al explotar la vulnerabilidad, era posible que un ciberdelincuente descifrara las claves privadas y las de inicio almacenadas en la memoria local del navegador. Check Point Research ha resumido la metodología de ataque potencial de la siguiente manera:
1. Conseguir las claves cifradas del monedero: normalmente, los atacantes utilizan extensiones maliciosas del navegador, malware infostealer o simplemente phishing para conseguir las claves.
2. Descifrarlas ejecutando un sencillo script: con la ayuda de la vulnerabilidad descubierta, el descifrado tarda sólo un par de minutos en un equipo de gama de consumidor.
3. Robar los fondos del wallet.
“Hemos descubierto una vulnerabilidad en el popular monedero de blockchain Everscale que permite a un ciberdelincuente descifrar sus claves fácilmente. Disponer de las contraseñas significa tener el control total del wallet de la víctima y, por tanto, de sus fondos. Everscale es el sucesor tecnológico de la red TON, que fue desarrollada por el equipo de Telegram. Al mismo tiempo, está todavía en las primeras etapas de desarrollo, por lo que era de suponer que podría haber vulnerabilidades en un producto tan joven. También teníamos curiosidad por saber cómo se implementa la protección en la billetera más popular de blockchain. Las pruebas de los investigadores presentan varios vectores de ataque que pueden llevar a un ciberdelincuente a obtener las contraseñas, lo que puede utilizarse para obtener el control total del monedero de la víctima”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Cuando se trabaja con criptomonedas, siempre hay que tener cuidado, asegurarse de que el dispositivo está libre de malware, no abrir enlaces sospechosos y mantener el sistema operativo y el software antivirus actualizados. A pesar de que la vulnerabilidad que encontramos ha sido parcheada en la nueva versión de escritorio del monedero Ever Surf, los usuarios pueden encontrarse con otras amenazas como vulnerabilidades en aplicaciones descentralizadas, o peligros generales como el fraude o el phishing”, concluye.
Consejos de ciberseguridad
Hay que recordar que las transacciones en blockchain son irreversibles. A diferencia de un banco, no se puede bloquear una tarjeta robada o reclamar una transacción. Si alguien roba las contraseñas de una wallet, los fondos de criptomonedas pueden convertirse en una presa fácil para los ciberdelincuentes, y nadie puede hacer nada para recuperar el dinero. Para evitar el robo de las claves, recomendamos:
• No seguir enlaces sospechosos, especialmente si se reciben de extraños.
• Mantener actualizado el sistema operativo y el antivirus.
• No descargar programas y extensiones del navegador de fuentes no verificadas