Critical bug in Everscale wallet could’ve let attackers steal cryptocurrencies

A security vulnerability has been disclosed in the web version of the Ever Surf wallet that, if successfully weaponized, could allow an attacker to gain full control over a victim’s wallet.

“By exploiting the vulnerability, it’s possible to decrypt the private keys and seed phrases that are stored in the browser’s local storage,” Israeli cybersecurity company Check Point said in a report shared with The Hacker News. “In other words, attackers could gain full control over the victim’s wallets.”

Ever Surf is a cryptocurrency wallet for the Everscale (formerly FreeTON) blockchain that also doubles up as a cross-platform messenger and allows users to access decentralized apps as well as send and receive non-fungible tokens (NFTs). It’s said to have an estimated 669,700 accounts across the world.

By means of different attack vectors like malicious browser extensions or phishing links, the flaw makes it possible to obtain a wallet’s encrypted keys and seed phrases that are stored in the browser’s local storage, which can then be trivially brute-forced to siphon funds.

Given that the information in the local storage is unencrypted, it could be accessed by rogue browser add-ons or information-stealing malware that’s capable of harvesting such data from different web browsers.

Following responsible disclosure, a new desktop app has been released to replace the vulnerable web version, with the latter now marked as deprecated and used only for development purposes.

“Having the keys means full control over the victim’s wallet, and, therefore funds,” Check Point’s Alexander Chailytko said. “When working with cryptocurrencies, you always need to be careful, ensure your device is free of malware, do not open suspicious links, keep OS and anti-virus software updated.”

“Despite the fact that the vulnerability we found has been patched in the new desktop version of the Ever Surf wallet, users may encounter other threats such as vulnerabilities in decentralized applications, or general threats like fraud, [and] phishing.”

Tagi:

Podziel się postem :)

Najnowsze:

Oprogramowanie

Nowa aktualizacja Windows 11 obniża wydajność dysków SSD

Windows 11 22H2 Moment 2 miał wprowadzać szereg nowych funkcji, które ułatwiają korzystanie z systemu. Okazuje się, że aktualizacja w niektórych przypadkach może znacząco obniżać wydajność dysków SSD.

Bezpieczeństwo

Rosja przygotowuje nowy cyberatak. Polska w czołówce zagrożonych krajów

Microsoft opublikował raport związany z działaniami rosyjskich hakerów w cyberprzestrzeni, z którego wynika, że trwają przygotowania do kolejnej fali. Szczegółowy dokument opisuje między innymi trendy w technologii oraz dotychczasowe częste cele, a tutaj Polska znajduje się w ścisłej czołówce.

Inne

Twój e-PIT – jak łatwo rozliczyć podatek przez internet?

Jak rozliczyć podatek przez internet przy użyciu usługi Twój e-PIT? Jak zalogować się do e-Urzędu Skarbowego i uzyskać podgląd naszej wstępnie wypełnionej deklaracji podatkowej? Jeśli zastanawiasz się jak tego dokonać, zapraszamy do lektury poradnika, w którym krok po kroku omawiamy kluczowe funkcje e-PIT-u.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *