Фірма Крипто гаманців Dfns каже, що «чарівні посилання» мають критичну вразливість

За даними стартапу Dfns, що займається створенням Крипто , деякі чарівні посилання – метод входу без пароля, який використовується все більшою кількістю Крипто і веб-додатків – мають критичну вразливість.

Dfns пропонує послуги гаманця і підтримується такими компаніями, як White Star Capital, Hashed, Susquehanna, Coinbase Ventures і ABN AMRO.

Магічне LINK — це унікальна одноразова URL-адреса, яка генерується веб-сайтом або програмою для автентифікації користувача без необхідності введення пароля. Коли користувач натискає магічне LINK , надіслане йому веб-додатком, він перевіряє його особу та входить до свого облікового запису.

Спочатку створені Slack та іншими популярними додатками Web2, чарівні посилання стали все більш поширеним методом входу в Крипто . Замість того, щоб вимагати від користувачів запам’ятовувати складний ключ або початкову фразу, чарівні посилання рекламуються як швидший, простіший і безпечніший спосіб входу.

Але Dfns каже, що магічні посилання, які можуть бути реалізовані по-різному в різних програмах, часто набагато менш безпечні, ніж більш традиційні методи входу.

Dfns класифікує виявлену вразливість як експлойт «нульового дня». – настільки серйозні, що по суті роблять магічні посилання токсичними для розробників. Враховуючи всюдисущість чарівних посилань за межами простих Крипто гаманців (вони використовуються, наприклад, деякими популярними менеджерами паролів), Dfns зазначив у заяві, що вразливість може «створювати значний ризик для значної частини світової економіки. »

Однак сервіси, які постраждали від цієї вразливості, значно применшили її ризик для CoinDesk, назвавши її більш щадною – хоча й все ще тривожною – породою. фішингова атака. Кілька популярних гаманців, крім того, скаржилися, що Dfns повідомила їх лише за три дні до того, як поспішила оприлюднити свої висновки, не відповідає загальноприйнятим стандартам Повідомлення вразливостей. Крім того, вони додали, що Dfns має особистий інтерес у зневажливому ставленні до послуг гаманців без пароля; Бізнес-модель Dfns передбачає захист Крипто паролів для своїх клієнтів.

Незважаючи на те, що не всі погодилися з оцінкою Dfns про серйозність своїх висновків, особи, які спілкувалися з CoinDesk, відзначили, що результати підкреслюють, як деякі одержимі зростанням Криптовалюта компанії віддають перевагу зручності над безпекою, намагаючись залучити користувачів.

«Ще на початку 2000-х імена користувачів і паролі постійно зламалися. Але сьогодні ми маємо двофакторну автентифікацію, OTP (одноразові паролі)» та інші більш безпечні методи входу, сказав CoinDesk генеральний директор Web3Auth Жень Ю Йонг. (Web3Auth пропонує службу входу без пароля, яка була вразлива до виявленого Dfns експлойту.) Крипто «все ще використовує однофакторні вихідні фрази – однофакторну автентифікацію».

Викрадення магічних посилань

Під час демонстрації в Zoom головний спеціаліст із інформаційної безпеки Dfns (CISO) д-р Самер Фейссал показав, як хакер може викрасти популярні служби Крипто -гаманця «чарівного LINK », використовуючи лише адресу електронної пошти користувача.

Використовуючи новий гаманець для запису CoinDesk як тестовий манекен, Фейсолл продемонстрував, як хакер може надіслати магічне LINK , яке виглядає (і в певному сенсі було) справжнім. LINK надійшло зі справжньої адреси електронної пошти служби гаманця, і натиснувши на нього, ви увійшли в гаманець для запису CoinDesk .

Але коли Файссал поділився своїм екраном, він показав, що, натиснувши LINK, CoinDesk випадково надав йому повний доступ до свого гаманця.

З двома юристами Dnfs на лінії (мабуть, щоб засвідчити той факт, що Dfns насправді не зламував CoinDesk), Фейссал погодився повторити свою атаку на іншу службу Крипто гаманця без пароля.

В обох своїх демонстраціях Файссал, а не CoinDesk , ініціював Request на вхід, який ініціював електронний лист із магічним LINK . Якщо користувач отримує електронний лист для входу, не намагаючись увійти в службу, зазвичай це ознака фішингу, навіть якщо електронний лист виглядає повністю справжнім.

Фейсал не пояснив, як він здійснив ці атаки, сказавши CoinDesk , що T хоче, щоб його методи потрапили в чужі руки. Однак він сказав, що особисто зв’язався з більш ніж десятком компаній, які, на його думку, вразливі до експлойту, і запропонував їм допомогу в застосуванні заходів безпеки.

Що стосується користувачів гаманців magic LINK , то «порада, яку я дав би користувачам, полягає в тому, щоб запровадити двофакторну автентифікацію якнайшвидше, якщо це можливо», — сказав Файссал.

CoinDesk поспілкувався з трьома Крипто , яких Dfns ідентифікував як користувачів магічних посилань. Усі вони підтвердили, що висновки Фейсала були достовірними, але всі вони сказали, що Dfns перегравала, називаючи атаку «нульовим днем».

Magic Labs, ONE з компаній, яку Dfns використовував у своїй демонстрації, повідомила, що через день вона більше не вразлива.

«Magic Labs більше не вразлива до такого типу фішингу, і, наскільки нам відомо, ніхто з наших кінцевих користувачів не постраждав», — сказав Шон Лі, генеральний директор Magic Labs. «Ми постійно оцінюємо та вдосконалюємо безпеку нашої платформи».

Нульовий день чи фішингова атака?

Web3Auth був іншим сервісом Крипто гаманця, який Dfns використовував для демонстрації вразливості магічного LINK на CoinDesk. На Погляди Йонга з Web3Auth, уразливість магічного LINK T кваліфікується як більш серйозний експлойт «нульового дня», оскільки користувачеві потрібно натиснути на захоплене магічне LINK , щоб воно спрацювало.

«Ми розглядаємо це як фішингову атаку», — сказав Йонг CoinDesk. «Це схоже на фішингову атаку на MetaMask, де є dapp [децентралізована програма], яка надсилає зловмисну ​​транзакцію, користувач її схвалює, а потім користувач може надіслати свої токени на зловмисну ​​адресу чи щось таке».

Атака за магічним LINK зазнає невдачі, якщо користувач пропустить викрадену електронну пошту, натисне LINK після закінчення терміну його дії або вважає підозрілим, що йому надіслали чарівне LINK , коли він T намагався ввійти. (Щодо останнього пункту , Файссал каже, що зловмисник може стратегічно визначити час, щоб LINK прибуло, коли користувач, як очікується, увійде в цільову службу.)

Йонг сказав CoinDesk , що Web3Auth має засоби захисту від фішингу, хоча він визнав, що цих заходів T для захисту від уразливості Fayssal.

Однак, до честі Web3Auth, компанія має текст у нижній частині своїх електронних листів із магічними LINK , у якому вказано IP-адресу, яка ініціювала спробу входу. У демонстрації Фейсала його захоплене магічне LINK надійшло з іншої IP-адреси, ніж IP-адреса CoinDesk – натяк, який легко пропустити, що LINK було шахрайським, навіть якщо електронний лист надійшов безпосередньо з Web3Auth.

Йонг сказав, що Web3Auth запровадить додаткові методи боротьби з фішингом у світлі досліджень Фейсала.

Sequence, платформа розробки web3, яка пропонує Крипто гаманець без пароля, повідомила CoinDesk , що встановила запобіжні заходи, які зробили виявлену Dfns вразливість неефективною. «Я T думаю, що для Sequence все так погано», — сказав Пітер Кіелтика, генеральний директор Horizon, компанії, яка створює Sequence. «Але ви знаєте, так, для деяких інших продуктів, я думаю, вони можуть вжити додаткових заходів».

Пітер звинуватив Dfns у перебільшенні серйозності вразливості магічного LINK як «маркетингового трюку».