Ang Crypto Wallet Firm Dfns ay nagsabi na ang 'Magic Links' ay May Kritikal na Vulnerability

Ang ilang magic link – isang paraan ng pag-sign-in na walang password na tinatanggap ng dumaraming Crypto wallet at web app – ay may kritikal na kahinaan, ayon sa Crypto wallet startup na Dfns.

Nag-aalok ang Dfns ng mga serbisyo ng wallet at sinusuportahan ng mga kumpanya kabilang ang White Star Capital, Hashed, Susquehanna, Coinbase Ventures at ABN AMRO.

Ang magic LINK ay isang natatangi, isang beses na paggamit na URL na binuo ng isang website o app upang patotohanan ang isang user nang hindi kinakailangan na maglagay sila ng password. Kapag nag-click ang isang user sa isang magic LINK na ipinadala sa kanila ng isang web app, bini-verify nito ang kanilang pagkakakilanlan at nilala-log sila sa kanilang account.

Sa simula ay pinangunahan ng Slack at iba pang sikat na Web2 app, ang mga magic link ay naging isang mas karaniwang paraan ng pag-sign-in para sa mga Crypto wallet. Sa halip na hilingin sa mga user na tandaan ang isang kumplikadong key o seed na parirala, ang mga magic link ay itinataguyod bilang isang mas mabilis, mas simple at mas ligtas na paraan upang mag-log in.

Ngunit sinabi ng Dfns na ang mga magic link – na maaaring ipatupad sa ibang paraan mula sa app patungo sa app – ay kadalasang hindi gaanong secure kaysa sa mas tradisyonal na mga paraan ng pag-sign in.

Kinakategorya ng Dfns ang kahinaan na natuklasan nito bilang isang "zero day" na pagsasamantala – napakalubha na talagang gawing nakakalason ang mga magic link para sa mga developer. Dahil sa ubiquity ng magic link na higit pa sa Crypto wallet (ginagamit ang mga ito ng ilang sikat na password manager, halimbawa), sinabi ng Dfns sa isang pahayag na ang kahinaan ay maaaring “​​magdulot ng malaking panganib sa isang malaking bahagi ng pandaigdigang ekonomiya. ”

Ang mga serbisyong naapektuhan ng kahinaan, gayunpaman, ay makabuluhang pinaliit ang panganib nito sa CoinDesk, na tinatawag itong mas kaaya-aya – kahit na nakakabahala pa rin – lahi ng pag-atake ng phishing. Marami pang tanyag na wallet, bukod pa rito, ay nagreklamo na binigyan sila ng Dfns ng kaunting abiso ng tatlong araw bago nagmamadaling ipahayag ang kanilang mga natuklasan, kulang sa karaniwang tinatanggap na mga pamantayan para sa Disclosure ng kahinaan. Idinagdag nila, bukod dito, na ang Dfns ay may sariling interes sa paghamak sa mga serbisyo ng wallet na walang password; Kasama sa modelo ng negosyo ng Dfns ang pag-iingat ng mga Crypto password para sa mga customer nito.

Bagama't hindi lahat ay sumang-ayon sa paglalarawan ng Dfns sa kalubhaan ng mga natuklasan nito, ang mga indibidwal na nakipag-usap sa CoinDesk ay nabanggit na ang mga natuklasan ay na-highlight kung paano ang ilang mga kumpanya ng Cryptocurrency na nahuhumaling sa paglago ay nag-prioritize ng kaginhawahan kaysa sa seguridad sa isang bid upang maakit ang mga gumagamit.

"Noong unang bahagi ng 2000s, ang mga username at password ay patuloy na nakompromiso. Ngunit ngayon mayroon kaming two-factor authentication, OTP (one-time-password),” at iba pang mas secure na paraan ng pag-sign in, sinabi ng CEO ng Web3Auth na si Zhen Yu Yong sa CoinDesk. (Nag-aalok ang Web3Auth ng walang password na serbisyo sa pag-sign-in na mahina sa nadiskubreng pagsasamantala ng Dfns.) Ang industriya ng Crypto "ay gumagamit pa rin ng mga pariralang single-factor seed – single-factor authentication."

Pag-hijack ng mga magic link

Sa isang demonstrasyon sa Zoom, ipinakita ng Dfns Chief Information Security Officer (CISO) na si Dr. Samer Fayssal kung paano maaaring i-hijack ng isang hacker ang mga sikat na serbisyo ng Crypto wallet na “magic LINK ” gamit lamang ang email address ng isang user.

Gamit ang isang sariwang CoinDesk burner wallet bilang isang test dummy, ipinakita ni Faysall kung paano maaaring magpadala ang isang hacker ng magic LINK na lumitaw (at, sa isang kahulugan) ay tunay. Ang LINK ay nagmula sa tunay na email address ng wallet service at ang pag-click dito ay naka-log in sa CoinDesk burner wallet.

Ngunit nang ibahagi ni Fayssal ang kanyang screen, ipinakita niya na sa pamamagitan ng pag-click sa LINK, hindi sinasadyang binigyan siya ng CoinDesk ng ganap na access sa wallet nito.

Sa dalawang abogado ng Dnfs sa linya (tila upang patunayan ang katotohanan na ang Dfns ay hindi aktwal na nagha-hack ng CoinDesk), pumayag si Fayssal na ulitin ang kanyang pag-atake sa isa pang walang password na serbisyo ng Crypto wallet.

Sa parehong demonstrasyon niya, si Fayssal – hindi CoinDesk – ang nagpasimula ng Request sa pag-sign-in na nag-trigger ng magic LINK na email. Kung ang isang user ay nakatanggap ng log-in na email nang hindi aktwal na sinusubukang mag-log in sa isang serbisyo, ito ay karaniwang isang phishing red flag - kahit na ang email ay lalabas na ganap na tunay.

Hindi ipaliwanag ni Fayssal kung paano niya inalis ang mga pag-atake, na sinasabi sa CoinDesk na T niya gustong mapunta sa maling mga kamay ang kanyang mga pamamaraan. Sinabi niya, gayunpaman, na personal niyang naabot ang higit sa isang dosenang kumpanya na pinaniniwalaan niyang mahina sa pagsasamantala at nag-alok na tulungan silang magpatupad ng mga pananggalang.

Tulad ng para sa mga gumagamit ng magic LINK wallet, "ang payo na ibibigay ko sa mga user ay ipatupad ang two-factor authentication sa lalong madaling panahon, kung maaari," sabi ni Fayssal.

Nakipag-usap ang CoinDesk sa tatlo sa mga kumpanya ng Crypto na kinilala ng Dfns bilang mga gumagamit ng mga magic link. Lahat sila ay kinumpirma na ang mga natuklasan ni Fayssal ay totoo, ngunit lahat sila ay nagsabi na ang Dfns ay labis na naglalaro ng kamay nito sa pamamagitan ng pagtawag sa pag-atake na isang "zero day."

Sinabi ng Magic Labs, ONE sa mga kumpanyang ginamit ng Dfns sa demo nito, pagkaraan ng isang araw na hindi na ito mahina.

"Wala nang kahinaan ang Magic Labs sa ganitong uri ng phishing, at, sa aming kaalaman, wala sa aming mga end-user ang naapektuhan," sabi ni Sean Li, CEO ng Magic Labs. "Patuloy naming sinusuri at pinapahusay ang seguridad ng aming platform."

Zero day o phishing attack?

Ang Web3Auth ay ang iba pang serbisyo ng Crypto wallet na ginamit ng Dfns upang ipakita ang kahinaan ng magic LINK sa CoinDesk. Sa Opinyon ng Web3Auth's Yong, ang kahinaan ng magic LINK ay T kwalipikado bilang isang mas matinding "zero day" na pagsasamantala dahil kailangan ng user na mag-click sa isang na-hijack na magic LINK upang ito ay gumana.

"Nakikita namin ito bilang isang pag-atake sa phishing," sinabi ni Yong sa CoinDesk. “Ito ay katulad ng pag-atake ng phishing sa MetaMask, kung saan mayroong dapp [desentralisadong app] na nagpapadala ng malisyosong transaksyon, inaprubahan ito ng user, pagkatapos ay maaaring ipadala ng user ang kanilang mga token sa isang malisyosong address o iba pa.”

Nabigo ang magic LINK attack kung hindi nakuha ng user ang na-hijack na email, nag-click sa LINK pagkatapos itong mag-expire, o mapaghihinalaang pinadalhan sila ng magic LINK noong T nila sinubukang mag-log in. (Tungkol sa huling puntong ito , sinabi ni Fayssal na maaaring madiskarteng oras ng isang umaatake ang LINK na dumating sa paligid kapag ang isang user ay maaaring inaasahang mag-log in sa target na serbisyo.)

Sinabi ni Yong sa CoinDesk na ang Web3Auth ay may mga pananggalang upang maiwasan ang phishing, kahit na inamin niya na ang mga pananggalang na ito ay T sapat upang labanan ang kahinaan ni Fayssal.

Sa kredito ng Web3Auth, gayunpaman, ang kumpanya ay may teksto sa ibaba ng mga email ng magic LINK nito na tumutukoy sa IP address na nagpasimula ng pagtatangkang mag-sign in. Sa demonstrasyon ni Fayssal, ang kanyang na-hijack na magic LINK ay nagmula sa ibang IP address kaysa sa CoinDesk - isang madaling makaligtaan na pahiwatig na ang LINK ay mapanlinlang kahit na ang email ay direktang nagmula sa Web3Auth.

Sinabi ni Yong na ang Web3Auth ay magpapatupad ng mga karagdagang pamamaraan ng anti-phishing sa liwanag ng pananaliksik ni Fayssal.

Ang Sequence, isang web3 development platform na nag-aalok ng walang password Crypto wallet, ay nagsabi sa CoinDesk na naglagay ito ng mga pananggalang na naging dahilan upang hindi epektibo ang natuklasan ng Dfns na kahinaan. "Para sa Sequence, sa palagay ko T ito kasing masama," sabi ni Peter Kieltyka, CEO sa Horizon, ang kumpanyang nagtatayo ng Sequence. "Ngunit alam mo, oo, para sa ilang iba pang mga produkto, sa palagay ko maaari silang gumawa ng mga karagdagang hakbang."

Inakusahan ni Peter ang Dfns ng pagmamalabis sa kalubhaan ng kahinaan ng magic LINK bilang isang "pag-marketing stunt."