آسیبپذیری امنیتی خطرناکی در نسخه تحت وب کیف پول دیجیتالی Ever Surf کشف شد که اگر با موفقیت اکسپلویت میشد، کنترل کامل کیف پول قربانی را در اختیار هکر قرار میداد.
شرکت امنیت سایبری Check Point در گفتگو با وبسایت خبری The Hacker News گفت: «در صورت اکسپلویت شدن این آسیبپذیری، امکان کدگشایی کلیدهای خصوصی و عبارتهای بازیابی (seed phrases) که در حافظه لوکال مرورگر کاربر ذخیره میشوند، وجود داشت. به عبارت دیگر، هکرها میتوانستند کنترل کامل والتهای قربانیان را در دست بگیرند».
Ever Surf نوعی کیف پول دیجیتالی برای نگهداری ارزهای دیجیتال بر بستر بلاک چین Everscale است که به عنوان یک پیامرسان بینپلتفرمی (cross-platform) نیز کار میکند و کاربران میتوانند با استفاده از آن، به اپلیکیشنهای غیرمتمرکز (decentralized apps یا dApps) دسترسی داشته باشند و توکنهای غیر قابل مثلی (Non-Fungible Tokens یا NFTها) را ارسال و دریافت کنند. گفته میشود که این والت، بیش از ۶۶۹ هزار کاربر در سرتاسر دنیا دارد.
نقص امنیتی کشف شده در Ever Surf امکان دسترسی به کلیدهای رمزنگاری شده و عبارتهای بازیابی این کیف پول با روشهایی مثل اکستنشنهای بدافزاری مرورگر و لینکهای فیشینگ را فرآهم میآورد و در نتیجه، سرقت داراییهای دیجیتالی موجود در کیف پولهای کاربران Ever Surf را ممکن میساخت.
از آنجایی که عبارتهای بازیابی ذخیره شونده در حافظه لوکال مرورگر کاربر، رمزنگاری شده نیستند، امکان دسترسی به آنها با استفاده از افزونههای بدافزاری مرورگر یا دیگر بدافزارهای سرقتکننده اطلاعات که میتوانند چنین دادههایی را از مرورگرهای مختلف گردآوری کنند، وجود داشت.
پس از کشف آسیبپذیری مورد اشاره، نسخه جدیدی از اپلیکیشن دسکتاپ کیف پول Ever Surf منتشر شد تا جایگزین نسخه قبلی شود. نسخه قبلی نیز منسوخ شده است.
یکی از متخصصین نرمافزار شرکت Check Point به نام آلکساندر چیلیتکو (Alexander Chailytko) میگوید: «در هنگام کار کردن با ارزهای دیجیتال باید همیشه مراقب و مطمئن باشید که دستگاه شما، عاری از هر گونه بدافزاری باشد. لینکهای مشکوک را باز نکنید و سیستم عامل و آنتی ویروس خود را آپدیت نگه دارید».
چیلیتکو ادامه میدهد: «با اینکه آسیبپذیری کشف شده توسط ما در نسخه دسکتاپ جدید کیف پول Ever Surf پچ شده اما کاربران در معرض تهدیدات دیگری مثل آسیبپذیریهای مشابه در اپلیکیشنهای غیر متمرکز یا تهدیدات عمومی دیگری مثل کلاهبرداری و فیشینگ قرار دارند».