La empresa de monederos Cripto Dfns afirma que los 'enlaces mágicos' tienen una vulnerabilidad crítica

Algunos enlaces mágicos, un método de inicio de sesión sin contraseña adoptado por un número cada vez mayor de billeteras Cripto y aplicaciones web, tienen una vulnerabilidad crítica, según la startup de billeteras Cripto Dfns.

Dfns ofrece servicios de billeteray cuenta con el respaldo de empresas como White Star Capital, Hashed, Susquehanna, Coinbase Ventures y ABN AMRO.

Un LINK mágico es una URL única y de un solo uso que genera un sitio web o una aplicación para autenticar a un usuario sin que tenga que introducir una contraseña. Cuando un usuario hace clic en un LINK mágico que le envía una aplicación web, se verifica su identidad y se inicia sesión en su cuenta.

Los enlaces mágicos, que inicialmente fueron impulsados ​​por Slack y otras aplicaciones populares de la Web2, se han convertido en un método de inicio de sesión cada vez más común para las billeteras de Cripto . En lugar de exigir a los usuarios que recuerden una clave compleja o una frase inicial, se promocionan como una forma más rápida, sencilla y segura de iniciar sesión.

Pero Dfns dice que los enlaces mágicos, que pueden implementarse de forma diferente de una aplicación a otra, suelen ser mucho menos seguros que los métodos de inicio de sesión más tradicionales.

Dfns clasifica la vulnerabilidad que descubrió comoUn exploit de “día cero” – tan grave que, en esencia, hace que los enlaces mágicos sean tóxicos para los desarrolladores. Dada la ubicuidad de los enlaces mágicos más allá de las billeteras de Cripto (por ejemplo, los utilizan algunos administradores de contraseñas populares), Dfns dijo en una declaración que la vulnerabilidad podría “representar un riesgo considerable para una parte sustancial de la economía global”.

Sin embargo, los servicios afectados por la vulnerabilidad minimizaron significativamente su riesgo para CoinDesk, calificándolo como un tipo de vulnerabilidad más benigna, aunque aún preocupante. ataque de phishingAdemás, varias billeteras populares se quejaron de que Dfns les dio apenas tres días de aviso antes de apresurarse a publicar sus hallazgos.Muy por debajo de los estándares comúnmente aceptados para la Aviso legal de vulnerabilidadesAgregaron, además, que Dfns tiene un interés personal en menospreciar los servicios de billetera sin contraseña; el modelo comercial de Dfns implica salvaguardar las contraseñas Cripto de sus clientes.

Si bien no todos estuvieron de acuerdo con la caracterización de Dfns de la gravedad de sus hallazgos, las personas que hablaron con CoinDesk señalaron que los hallazgos resaltaron cómo algunas empresas de Criptomonedas obsesionadas con el crecimiento han priorizado la conveniencia sobre la seguridad en un intento por atraer usuarios.

“A principios de la década de 2000, los nombres de usuario y las contraseñas se veían constantemente comprometidos. Pero hoy tenemos autenticación de dos factores, OTP (contraseñas de un solo uso) y otros métodos de inicio de sesión más seguros, dijo el director ejecutivo de Web3Auth, Zhen Yu Yong , a CoinDesk. (Web3Auth ofrece un servicio de inicio de sesión sin contraseña que era vulnerable al exploit descubierto por Dfns). La industria de las Cripto "sigue utilizando en gran medida frases semilla de un solo factor: autenticación de un solo factor".

Secuestro de enlaces mágicos

En una demostración a través de Zoom, el director de seguridad de la información (CISO) de Dfns, Dr. Samer Fayssal, mostró cómo un pirata informático puede secuestrar los populares servicios de billeteras Cripto de " LINK mágico" utilizando solo la dirección de correo electrónico de un usuario.

Usando una billetera electrónica nueva de CoinDesk como modelo de prueba, Faysall demostró cómo un hacker podía enviar un LINK mágico que parecía (y era, en cierto sentido) genuino. El LINK provenía de la dirección de correo electrónico real del servicio de billetera y al hacer clic en él se iniciaba sesión en la billetera electrónica de CoinDesk .

Pero cuando Fayssal compartió su pantalla, mostró que al hacer clic en el LINK, CoinDesk inadvertidamente le había dado acceso completo a su billetera.

Con dos abogados de Dnfs en la línea (aparentemente para dar fe del hecho de que Dfns en realidad no estaba hackeando CoinDesk), Fayssal acordó repetir su ataque a otro servicio de billetera Cripto sin contraseña.

En ambas demostraciones, Fayssal (no CoinDesk ) inició la Request de inicio de sesión que activó un correo electrónico con un LINK mágico. Si un usuario recibe un correo electrónico de inicio de sesión sin intentar iniciar sesión en un servicio, esto suele ser una señal de alerta de phishing, incluso si el correo electrónico parece completamente auténtico.

Fayssal no explicó cómo llevó a cabo los ataques y le dijo a CoinDesk que no quería que sus métodos cayeran en manos equivocadas. Sin embargo, dijo que se comunicó personalmente con más de una docena de empresas que cree que son vulnerables al ataque y se ofreció a ayudarlas a implementar medidas de seguridad.

En cuanto a los usuarios de billeteras con LINK mágicos, “el consejo que les daría es que implementen la autenticación de dos factores lo antes posible, si es posible”, dijo Fayssal.

CoinDesk habló con tres de las empresas de Cripto que Dfns identificó como usuarias de enlaces mágicos. Todas ellas confirmaron que los hallazgos de Fayssal eran auténticos, pero todas dijeron que Dfns estaba exagerando al llamar al ataque un "día cero".

Magic Labs, una de las empresas que Dfns utilizó en su demostración, dijo un día después que ya no era vulnerable.

"Magic Labs ya no es vulnerable a este tipo de phishing y, hasta donde sabemos, ninguno de nuestros usuarios finales se ha visto afectado", afirmó Sean Li, director ejecutivo de Magic Labs. "Evaluamos y mejoramos constantemente la seguridad de nuestra plataforma".

¿Ataque de día cero o de phishing?

Web3Auth fue el otro servicio de billetera Cripto que Dfns utilizó para demostrar la vulnerabilidad del LINK mágico a CoinDesk. En Opinión de Yong de Web3Auth, la vulnerabilidad del LINK mágico no califica como un exploit de "día cero" más grave porque el usuario necesita hacer clic en un LINK mágico pirateado para que funcione.

“Vemos esto como un ataque de phishing”, dijo Yong a CoinDesk. “Es similar a un ataque de phishing en MetaMask, donde hay una dapp [aplicación descentralizada] que envía una transacción maliciosa, el usuario la aprueba y luego el usuario puede enviar sus tokens a una dirección maliciosa o algo así”.

El ataque de LINK mágico falla si el usuario no ve el correo electrónico secuestrado, hace clic en el LINK después de que caduque o considera sospechoso que se le haya enviado un LINK mágico cuando no había intentado iniciar sesión. (En cuanto a este último punto, Fayssal dice que un atacante podría programar estratégicamente el LINK para que llegue en el momento en que se espera que un usuario inicie sesión en el servicio de destino).

Yong le dijo a CoinDesk que Web3Auth tiene protecciones para prevenir el phishing, aunque admitió que estas protecciones no fueron suficientes para defenderse de la vulnerabilidad de Fayssal.

Sin embargo, Web3Auth tiene el mérito de incluir un texto al final de los correos electrónicos con LINK mágicos que especifica la dirección IP que inició el intento de inicio de sesión. En la demostración de Fayssal, el LINK mágico pirateado provenía de una dirección IP diferente a la de CoinDesk, una pista fácil de pasar por alto de que el LINK era fraudulento a pesar de que el correo electrónico provenía directamente de Web3Auth.

Yong dijo que Web3Auth implementaría métodos antiphishing adicionales a la luz de la investigación de Fayssal.

Sequence, una plataforma de desarrollo web3 que ofrece una billetera Cripto sin contraseña, le dijo a CoinDesk que implementó medidas de seguridad que hicieron que la vulnerabilidad descubierta por Dfns fuera ineficaz. "Para Sequence, no creo que sea tan malo en absoluto", dijo Peter Kieltyka, CEO de Horizon, la empresa que desarrolla Sequence. "Pero ya sabes, sí, para algunos otros productos, creo que podrían tomar medidas adicionales".

Peter acusó a Dfns de exagerar la gravedad de la vulnerabilidad del LINK mágico como un “truco de marketing”.