La tecnología blockchain y las aplicaciones descentralizadas (dAPPs) ofrecen a los internautas ventajas como poder utilizar el servicio sin crear una cuenta o implementar la aplicación como una sola página en JavaScript. Este tipo de aplicación no requiere comunicación con una infraestructura centralizada, como un servidor web, y puede interactuar de forma directa con blockchain o utilizando una extensión del navegador como Metamask.
En este caso, el usuario se identifica mediante claves que se almacenan únicamente en un equipo local dentro de una extensión del navegador o de un monedero web. Si una aplicación descentralizada o un wallet almacena datos sensibles a nivel individual, debe asegurarse de que estos datos están protegidos de forma fiable. En la mayoría de los casos, las dAPP se ejecutan dentro del navegador y, por tanto, son susceptibles a ataques como el XSS. Al explotar la vulnerabilidad, es posible descifrar las claves privadas y las fórmulas de compra que se guardan en el almacenamiento local del navegador. En otras palabras, los atacantes podrían obtener el control total de los monederos de las víctimas.
Divulgación responsable y colaboración con Everscale
Check Point Research ha revelado la vulnerabilidad a los desarrolladores de Ever Surf, quienes han publicado una versión de escritorio que mitiga esta amenaza. La versión web ha sido declarada obsoleta y sólo debe utilizarse con fines de desarrollo. Las fórmulas de las cuentas que almacenan valor real en criptografía no deben utilizarse en la versión web de Ever Surf.
Metodología de ataque
Al explotar la vulnerabilidad, era posible que un ciberdelincuente descifrara las claves privadas y las de inicio almacenadas en la memoria local del navegador. CheckPoint Research ha resumido la metodología de ataque potencial de la siguiente manera:
“Hemos descubierto una vulnerabilidad en el popular monedero de blockchain Everscale que permite a un ciberdelincuente descifrar sus claves fácilmente. Disponer de las contraseñas significa tener el control total del wallet de la víctima y, por tanto, de sus fondos. Everscale es el sucesor tecnológico de la red TON, que fue desarrollada por el equipo de Telegram. Al mismo tiempo, está todavía en las primeras etapas de desarrollo, por lo que era de suponer que podría haber vulnerabilidades en un producto tan joven. También teníamos curiosidad por saber cómo se implementa la protección en la billetera más popular de blockchain. Las pruebas de los investigadores presentan varios vectores de ataque que pueden llevar a un ciberdelincuente a obtener las contraseñas, lo que puede utilizarse para obtener el control total del monedero de la víctima”, destaca Eusebio Nieva, director de Check Point Software para España y Portugal. “Cuando se trabaja con criptomonedas, siempre hay que tener cuidado, asegurarse de que el dispositivo está libre de malware, no abrir enlaces sospechosos y mantener el sistema operativo y el software antivirus actualizados. A pesar de que la vulnerabilidad que encontramos ha sido parcheada en la nueva versión de escritorio del monedero Ever Surf, los usuarios pueden encontrarse con otras amenazas como vulnerabilidades en aplicaciones descentralizadas, o peligros generales como el fraude o el phishing”, concluye.
Consejos de ciberseguridad
Hay que recordar que las transacciones en blockchain son irreversibles. A diferencia de un banco, no se puede bloquear una tarjeta robada o reclamar una transacción. Si alguien roba las contraseñas de una wallet, los fondos de criptomonedas pueden convertirse en una presa fácil para los ciberdelincuentes, y nadie puede hacer nada para recuperar el dinero. Para evitar el robo de las claves, recomendamos: