Schwachstelle

Check Point entdeckt Sicherheitslücke in Krypto-Wallet von Everscale

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point entdeckt Sicherheitslücke in Krypto-Wallet von Everscale

Die Webversion des Blockchain-Browsers Ever Surf enthielt eine Sicherheitslücke

Die Security-Experten von Check Point Research (CPR) haben eine Sicherheitsschwachstelle in der Blockchain-Wallet von Everscale gefunden. Bei Ausnutzung der mittlerweile behobenen Schwachstelle hätte ein Angreifer die vollständige Kontrolle über die Wallet eines Opfers und die darauf befindlichen Gelder erlangen können. Die Schwachstelle wurde in der Webversion der Everscale-Wallet namens Ever Surf entdeckt, einem plattformübergreifenden Messenger und Blockchain-Browser, der auch als Krypto-Wallet fungiert und im Google Play und Apple iOS Store verfügbar ist. Die auf dem Telegram-Vorgängerprojekt TON-Blockchain basierende Smart-Contract-Plattform hat Berichten zufolge 31,6 Millionen Transaktionen durchgeführt und besitzt weltweit über 669.000 Konten.

„Everscale befindet sich noch in einem frühen Stadium der Entwicklung, daher vermuteten wir, dass es bei einem so jungen Produkt Schwachstellen geben könnte.“, sagt Alexander Chailytko, Cyber Security, Research & Innovation Manager bei Check Point Software.

CPR konnte nachweisen, dass es einem Angreifer innerhalb weniger Minuten möglich war, private Keys und Seed-Phrasen zu entschlüsseln, die im lokalen Speicher des Browsers gespeichert sind.

Die Sicherheitsexperten skizzierten die mögliche Angriffsmethodik wie folgt:

  1. Beschaffung der verschlüsselten Keys der Wallet. Normalerweise verwenden Angreifer bösartige Browsererweiterungen, Infostealer-Malware oder einfach nur Phishing-Taktiken, um an die Keys zu gelangen.
  2. Entschlüsselung der Keys durch Ausführen eines einfachen Skripts. Mit Hilfe der entdeckten Sicherheitslücke dauert die Entschlüsselung nur ein paar Minuten auf einer Consumer-Hardware.
  3. Diebstahl des Gelds aus der Wallet. „Der Proof of Concept von CPR zeigt mehrere Angriffsvektoren, die dazu führen können, dass ein Angreifer private Keys und Seed-Phrasen im Klartext erhält.“, erklärt Chailytko. „Diese können dann verwendet werden, um die vollständige Kontrolle über die Wallet des Opfers zu erlangen.“

Tipps zur Cybersicherheit

Wir möchten Sie daran erinnern, dass Blockchain-Transaktionen unumkehrbar sind. Im Gegensatz zu einer Bank können Sie bei Blockchain eine gestohlene Karte nicht sperren oder eine Transaktion anfechten. Wenn die Keys für Ihre Brieftasche gestohlen werden, können Ihre Krypto-Gelder zur leichten Beute für Cyberkriminelle werden und niemand kann Ihnen helfen, Ihr Geld zurückzuerhalten. Um den Diebstahl der Keys zu verhindern, empfiehlt CPR folgende Sicherheitsmaßnahmen:

  • Folgen Sie keinen verdächtigen Links, insbesondere wenn sie von Fremden stammen.
  • Halten Sie Ihr Betriebssystem und Ihre Antiviren-Software auf dem neuesten Stand.
  • Laden Sie keine Software und Browser-Erweiterungen aus ungeprüften Quellen herunter.

Verantwortliche Offenlegung

CPR hat die Schwachstelle den Entwicklern von Ever Surf gemeldet, die daraufhin eine Desktop-Version veröffentlicht haben, die diese Schwachstelle behebt. Die Webversion ist nun als veraltet erklärt und sollte nur noch für Entwicklungszwecke verwendet werden. Seed-Phrasen von Konten, die echte Werte in Kryptowährungen speichern, sollten nicht in der Web-Version verwendet werden. Ever Surf hat eine Erklärung abgegeben, die in der technischen Veröffentlichung von CPR nachgelesen werden kann.