A empresa de carteiras Cripto Dfns diz que os 'Magic Links' têm vulnerabilidade crítica

Alguns links mágicos – um método de login sem senha adotado por um número crescente de carteiras de Cripto e aplicativos da web – têm uma vulnerabilidade crítica, de acordo com a startup de carteiras de Cripto Dfns.

Dfns oferece serviços de carteirae é apoiado por empresas como White Star Capital, Hashed, Susquehanna, Coinbase Ventures e ABN AMRO.

Um LINK mágico é uma URL única e de uso único que é gerada por um site ou aplicativo para autenticar um usuário sem exigir que ele insira uma senha. Quando um usuário clica em um LINK mágico enviado a ele por um aplicativo da web, ele verifica sua identidade e o registra em sua conta.

Inicialmente liderados pelo Slack e outros aplicativos populares da Web2, os links mágicos se tornaram um método de login cada vez mais comum para carteiras de Cripto . Em vez de exigir que os usuários se lembrem de uma chave complexa ou frase semente, os links mágicos são promovidos como uma maneira mais rápida, simples e segura de fazer login.

Mas o Dfns diz que os links mágicos – que podem ser implementados de forma diferente de aplicativo para aplicativo – costumam ser muito menos seguros do que os métodos de login mais tradicionais.

O Dfns categoriza a vulnerabilidade que descobriu comouma exploração de “dia zero” – tão grave a ponto de essencialmente tornar os magic links tóxicos para desenvolvedores. Dada a ubiquidade dos magic links além de apenas carteiras de Cripto (eles são usados ​​por alguns gerenciadores de senhas populares, por exemplo), a Dfns disse em uma declaração que a vulnerabilidade poderia “​​representar um risco considerável para uma parcela substancial da economia global.”

Os serviços afetados pela vulnerabilidade, no entanto, minimizaram significativamente seu risco para a CoinDesk, chamando-a de uma espécie mais benigna - embora ainda preocupante - de ataque de phishing. Além disso, várias carteiras populares reclamaram que o Dfns deu a elas apenas três dias de aviso antes de se apressarem em divulgar suas descobertas,bem aquém dos padrões comumente aceitos para Aviso Importante de vulnerabilidades. Eles acrescentaram, ainda, que a Dfns tem interesse em menosprezar os serviços de carteira sem senha; o modelo de negócios da Dfns envolve proteger senhas de Cripto para seus clientes.

Embora nem todos concordassem com a caracterização do Dfns sobre a gravidade de suas descobertas, indivíduos que falaram com a CoinDesk observaram que as descobertas destacaram como algumas empresas de Criptomoeda obcecadas pelo crescimento priorizaram a conveniência em vez da segurança em uma tentativa de atrair usuários.

“No início dos anos 2000, nomes de usuários e senhas eram constantemente comprometidos. Mas hoje temos autenticação de dois fatores, OTP (senhas de uso único)” e outros métodos de login mais seguros, disse o CEO da Web3Auth, Zhen Yu Yong, à CoinDesk. (A Web3Auth oferece um serviço de login sem senha que era vulnerável ao exploit descoberto pelo Dfns.) A indústria de Cripto "ainda está usando frases-semente de fator único – autenticação de fator único".

Sequestro de links mágicos

Em uma demonstração pelo Zoom, o diretor de segurança da informação (CISO) do Dfns, Dr. Samer Fayssal, mostrou como um hacker pode sequestrar serviços populares de carteira de Cripto de “ LINK mágico” usando apenas o endereço de e-mail do usuário.

Usando uma carteira descartável CoinDesk nova como modelo de teste, Faysall demonstrou como um hacker poderia enviar um LINK mágico que parecia (e era, em certo sentido) genuíno. O LINK vinha do endereço de e-mail real do serviço de carteira e, ao clicar nele, ele fazia login na carteira descartável CoinDesk .

Mas quando Fayssal compartilhou sua tela, ele mostrou que, ao clicar no LINK, a CoinDesk inadvertidamente lhe deu acesso total à sua carteira.

Com dois advogados do Dnfs na linha (aparentemente para atestar o fato de que o Dfns não estava realmente hackeando o CoinDesk), Fayssal concordou em repetir seu ataque a outro serviço de carteira de Cripto sem senha.

Em ambas as demonstrações, Fayssal – não CoinDesk – iniciou a Request de login que disparou um e-mail de LINK mágico. Se um usuário recebe um e-mail de login sem realmente tentar fazer login em um serviço, isso é tipicamente um sinal de alerta de phishing – mesmo que o e-mail pareça completamente autêntico.

Fayssal não explicou como ele fez os ataques, dizendo à CoinDesk que T queria que seus métodos caíssem nas mãos erradas. Ele disse, no entanto, que entrou em contato pessoalmente com mais de uma dúzia de empresas que ele acredita serem vulneráveis ​​à exploração e se ofereceu para ajudá-las a implementar salvaguardas.

Quanto aos usuários de carteiras magic LINK , “o conselho que eu daria aos usuários é implementar a autenticação de dois fatores o mais rápido possível, se possível”, disse Fayssal.

A CoinDesk falou com três das empresas de Cripto que a Dfns identificou como usuárias de magic links. Todas elas confirmaram que as descobertas de Fayssal eram autênticas, mas todas disseram que a Dfns estava exagerando ao chamar o ataque de “dia zero”.

A Magic Labs, uma das empresas que a Dfns usou em sua demonstração, disse um dia depois que o vírus não estava mais vulnerável.

"A Magic Labs não tem mais vulnerabilidade a esse tipo de phishing e, até onde sabemos, nenhum de nossos usuários finais foi afetado", disse Sean Li, CEO da Magic Labs. "Estamos constantemente avaliando e melhorando a segurança de nossa plataforma."

Dia zero ou ataque de phishing?

O Web3Auth foi o outro serviço de carteira Cripto que o Dfns usou para demonstrar a vulnerabilidade do magic LINK para o CoinDesk. Na Opinião de Yong do Web3Auth, a vulnerabilidade do magic LINK T se qualifica como uma exploração mais grave de “dia zero” porque o usuário precisa clicar em um magic LINK sequestrado para que ele funcione.

“Vemos isso como um ataque de phishing”, Yong disse ao CoinDesk. “É semelhante a um ataque de phishing no MetaMask, onde há um dapp [aplicativo descentralizado] que envia uma transação maliciosa, o usuário a aprova, então o usuário pode enviar seus tokens para um endereço malicioso ou algo assim.”

O ataque de LINK mágico falha se o usuário não percebe o e-mail sequestrado, clica no LINK depois que ele expira ou acha suspeito que ele tenha recebido um LINK mágico T ter tentado fazer login. (Quanto a este último ponto, Fayssal diz que um invasor pode programar estrategicamente o LINK para chegar em um momento em que o usuário deve fazer login no serviço alvo.)

Yong disse ao CoinDesk que o Web3Auth tem salvaguardas para evitar phishing, embora tenha admitido que essas salvaguardas T foram suficientes para evitar a vulnerabilidade do Fayssal.

Para crédito da Web3Auth, no entanto, a empresa tem texto na parte inferior de seus e-mails de magic LINK especificando o endereço IP que iniciou uma tentativa de login. Na demonstração de Fayssal, seu magic LINK sequestrado veio de um endereço IP diferente do da CoinDesk – uma dica fácil de perder de que o LINK era fraudulento, embora o e-mail tenha vindo diretamente da Web3Auth.

Yong disse que a Web3Auth implementaria métodos antiphishing adicionais à luz da pesquisa de Fayssal.

Sequence, uma plataforma de desenvolvimento web3 que oferece uma carteira de Cripto sem senha, disse à CoinDesk que colocou salvaguardas em prática que tornaram a vulnerabilidade descoberta pelo Dfns ineficaz. “Para o Sequence, T acho que seja tão ruim assim”, disse Peter Kieltyka, CEO da Horizon, a empresa que constrói o Sequence. “Mas você sabe, sim, para alguns outros produtos, acho que eles poderiam tomar medidas adicionais.”

Peter acusou a Dfns de exagerar a gravidade da vulnerabilidade do LINK mágico como um “golpe de marketing”.