Lỗ hổng nghiêm trọng trong ví Ever Surf cho phép kẻ tấn công đắnh cắp tiền điện tử

Một lỗ hổng bảo mật được phát hiện trong phiên bản web của ví Ever Surf, nếu bị khai thác thành công có thể cho phép kẻ tấn công chiếm toàn quyền kiểm soát ví của nạn nhân.

Công ty bảo mật Check Point của Israel cho biết “khai thác thành công lỗ hổng có thể giải mã các khóa cá nhân và các seed được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân."

Ever Surf là ​​một ví tiền điện tử dành cho nền tảng Everscale blockchain (trước đây là FreeTON, có khoảng 669.700 tài khoản trên khắp thế giới) cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận các mã NFT.

Bằng các khai thác khác nhau như sử dụng các tiện ích (extension) độc hại trên trình duyệt hoặc liên kết lừa đảo, kẻ tấn công có thể lấy được các khóa mã hóa của ví và các seed được lưu trữ trong bộ nhớ cục bộ của trình duyệt, sau đó sử dụng nó để rút tiền trái phép.

Do thông tin trong bộ nhớ cục bộ không được mã hóa, nó có thể bị truy cập bởi các tiện ích bổ sung giả mạo của trình duyệt hoặc mã độc ăn cắp thông tin có khả năng thu thập dữ liệu từ các trình duyệt.

Sau khi lỗ hổng được phát hiện, một ứng dụng ví dành cho máy tính để bàn mới đã được phát hành để thay thế phiên bản web dễ bị tấn công hiện tại, các phiên bản web sau này sẽ không được dùng nữa và chỉ được sử dụng cho mục đích phát triển.

Alexander Chailytko của Check Point cho biết: "Khi làm việc với tiền điện tử, bạn luôn phải cẩn thận, đảm bảo thiết bị của bạn không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống vi-rút."

"Mặc dù lỗ hổng đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf, người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các cuộc tấn công lừa đảo."

Nguồn: thehackernews.com.