Check Point detecta un fallo de seguridad en el monedero de Everscale
- Actualidad
Check Point ha identificado una vulnerabilidad en la plataforma de contratos inteligentes Everscale. De haberse explotado, podría haber permitido a los ciberdelincuentes controlar sus fondos.
La división de inteligencia de amenazas de Check Point ha identificado una vulnerabilidad de seguridad en la cartera de blockchain de Everscale, plataforma que tiene más de 669.000 cuentas en todo el mundo. Si esta brecha se hubiese llegado a explotar, los ciberdelincuentes habrían logrado un control total del monedero de la víctima y de sus fondos. La vulnerablidad se ha descubierto en la versión web del wallet de Everscale, conocida como Ever Surf, disponible en Google Play Store y en la App Store de Apple.
Check Point Research ha revelado el fallo a los desarrolladores de Ever Surf, quienes han publicado una versión de escritorio que mitiga esta amenaza. La versión web ha sido declarada obsoleta y sólo debe utilizarse con fines de desarrollo. Las fórmulas de las cuentas que almacenan valor real en criptografía no deben utilizarse en la versión web de Ever Surf.
Al explotar la vulnerabilidad, era posible que un ciberdelincuente descifrara las claves privadas y las de inicio almacenadas en la memoria local del navegador. Check Point Research ha resumido la metodología de ataque potencial: el primer caso es conseguir las claves cifradas del monedero utilizando extensiones maliciosas del navegador, malware infostealer o simplemente phishing para conseguir las claves, después se descifran ejecutando un sencillo script para, a continuación, robar los fondos.
Consejos de ciberseguridad
La tecnología blockchain y las aplicaciones descentralizadas (dAPPs) ofrecen a los internautas ventajas como poder utilizar el servicio sin crear una cuenta o implementar la aplicación como una sola página en JavaScript. Este tipo de aplicación no requiere comunicación con una infraestructura centralizada, como un servidor web, y puede interactuar de forma directa con blockchain o utilizando una extensión del navegador como Metamask.
En este caso, el usuario se identifica mediante claves que se almacenan únicamente en un equipo local dentro de una extensión del navegador o de un monedero web. Si una aplicación descentralizada o un wallet almacena datos sensibles a nivel individual, debe asegurarse de que estos datos están protegidos de forma fiable. En la mayoría de las ocasiones, las dAPP se ejecutan dentro del navegador y, por tanto, son susceptibles a ataques como el XSS. Al explotar la vulnerabilidad, es posible descifrar las claves privadas y las fórmulas de compra que se guardan en el almacenamiento local del navegador. En otras palabras, los atacantes podrían obtener el control total de los monederos de las víctimas.
Check Point recuerda que las transacciones en blockchain son irreversibles. A diferencia de un banco, no se puede bloquear una tarjeta robada o reclamar una transacción. Si alguien roba las contraseñas de una wallet, los fondos de criptomonedas pueden convertirse en una presa fácil para los ciberdelincuentes, y nadie puede hacer nada para recuperar el dinero. Para evitar el robo de las claves, recomienda no seguir enlaces sospechosos, especialmente si se reciben de extraños, mantener actualizado el sistema operativo y el antivirus y no descargar programas y extensiones del navegador de fuentes no verificadas.
