In der Web-Version der Ever Surf-Wallet wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, die vollständige Kontrolle über die Wallet eines Opfers zu erlangen, wenn er sie erfolgreich ausnutzt.
„Wenn die Schwachstelle ausgenutzt wird, ist es möglich, die privaten Schlüssel und Seed Phrases zu entschlüsseln, die im lokalen Speicher des Browsers gespeichert sind“, so das israelische Cybersecurity-Unternehmen Check Point in einem Bericht, der The Hacker News vorliegt. „Mit anderen Worten: Angreifer könnten die volle Kontrolle über die Geldbörsen der Opfer erlangen.
Ever Surf ist eine Kryptowährungs-Wallet für die Everscale-Blockchain (ehemals FreeTON), die auch als plattformübergreifender Messenger fungiert und es den Nutzern ermöglicht, auf dezentrale Apps zuzugreifen sowie nicht-fungible Token (NFTs) zu senden und zu empfangen. Es soll schätzungsweise 669.700 Konten auf der ganzen Welt geben.
Über verschiedene Angriffsvektoren wie bösartige Browsererweiterungen oder Phishing-Links ermöglicht es die Schwachstelle, an die verschlüsselten Schlüssel und Seed-Phrasen einer Wallet heranzukommen, die im lokalen Speicher des Browsers gespeichert sind und die dann auf triviale Weise geknackt werden können, um Gelder abzuschöpfen.
Da die Informationen im lokalen Speicher unverschlüsselt sind, können sie von betrügerischen Browser-Add-ons oder Malware, die solche Daten aus verschiedenen Browsern ausspähen kann, abgegriffen werden.
Nach dem Bekanntwerden der Sicherheitslücke wurde eine neue Desktop-Anwendung veröffentlicht, die die verwundbare Webversion ersetzt und nur noch für Entwicklungszwecke verwendet wird.
„Der Besitz der Schlüssel bedeutet die volle Kontrolle über die Brieftasche des Opfers und damit auch über sein Geld“, sagt Alexander Chailytko von Check Point. „Wenn du mit Kryptowährungen arbeitest, musst du immer vorsichtig sein, sicherstellen, dass dein Gerät frei von Malware ist, keine verdächtigen Links öffnen und das Betriebssystem und die Antivirensoftware auf dem neuesten Stand halten.“
„Trotz der Tatsache, dass die von uns gefundene Sicherheitslücke in der neuen Desktop-Version der Ever Surf Wallet gepatcht wurde, können Nutzerinnen und Nutzer anderen Bedrohungen wie Schwachstellen in dezentralen Anwendungen oder allgemeinen Bedrohungen wie Betrug und Phishing ausgesetzt sein.