Kripto cüzdanı girişimi Dfns’e göre, sayısı giderek artan kripto cüzdanları ve web uygulamaları tarafından benimsenen şifresiz oturum açma yöntemi olan bazı sihirli bağlantılar kritik bir güvenlik açığına sahip.
Dfns, White Star Capital, Hashed, Susquehanna, Coinbase Ventures ve ABN AMRO gibi firmalar tarafından desteklenen cüzdan hizmetleri sunan bir şirkettir.
Sihirli bağlantı, bir web sitesi veya uygulama tarafından bir kullanıcının şifre girmesine gerek kalmadan kimliğini doğrulamak için oluşturulan benzersiz, tek seferlik bir URL’dir. Kullanıcı, web uygulaması tarafından kendisine gönderilen sihirli bir bağlantıya tıkladığında, kimliğini doğrular ve hesabında oturum açar.
Başlangıçta Slack ve diğer popüler “Web2” uygulamalarının öncülüğünü yaptığı sihirli bağlantılar, kripto cüzdanları için giderek yaygınlaşan bir oturum açma yöntemi haline geldi. Kullanıcıların karmaşık bir anahtarı veya çekirdek tümceyi hatırlamasını istemek yerine, sihirli bağlantılar oturum açmanın daha hızlı, daha basit ve daha güvenli bir yolu olarak tanıtılır.
Ancak Dfns, uygulamadan uygulamaya farklı şekilde uygulanabilen sihirli bağlantıların genellikle daha geleneksel oturum açma yöntemlerinden çok daha az güvenli olduğunu söylüyor.
Dfns, keşfettiği güvenlik açığını “sıfır gün” istismarı olarak sınıflandırır – sihirli bağlantıları geliştiriciler için zehirli hale getirecek kadar şiddetli. Sihirli bağlantıların sadece kripto cüzdanlarının ötesinde her yerde bulunması göz önüne alındığında (örneğin, bazı popüler şifre yöneticileri tarafından kullanılırlar), Dfns yaptığı açıklamada, güvenlik açığının “küresel ekonominin önemli bir kısmı için önemli bir risk oluşturabileceğini” söyledi. ”
Bununla birlikte, güvenlik açığından etkilenen hizmetler, CoinDesk’e yönelik riskini önemli ölçüde küçümsedi ve bunu daha iyi huylu (yine de endişe verici olsa da) bir kimlik avı saldırısı türü olarak nitelendirdi. Ayrıca birçok popüler cüzdan, Dfns’in bulgularını yayınlamak için acele etmeden önce kendilerine üç gün kadar kısa bir süre önce bildirimde bulunduğundan şikayet etti, bu da güvenlik açığı ifşası için yaygın olarak kabul edilen standartların çok altındaydı. Ayrıca, Dfns’in şifresiz cüzdan hizmetlerini kötülemek konusunda kazanılmış bir çıkarı olduğunu da eklediler; Dfns’in iş modeli, müşterileri için kripto şifrelerinin korunmasını içerir.
Herkes, Dfns’in bulgularının ciddiyetini nitelendirmesine katılmasa da, CoinDesk ile konuşan kişiler, bulguların, bazı büyüme takıntılı kripto para birimi şirketlerinin kullanıcıları çekmek için güvenliğe göre rahatlığa nasıl öncelik verdiklerini vurguladığını belirtti.
“2000’lerin başında, kullanıcı adları ve parolalar sürekli olarak ele geçiriliyordu. Web3Auth CEO’su Zhen Yu Yong, CoinDesk’e (Web3Auth, Dfns’ye karşı savunmasız olan parolasız bir oturum açma hizmeti sunuyor) dedi. -keşfedilen istismar). Kripto endüstrisi “hala tek faktörlü tohum cümleleri kullanıyor – tek faktörlü kimlik doğrulama.”
Sihirli bağlantıların ele geçirilmesi
Zoom üzerinden yapılan bir gösteride, Dfns Bilgi Güvenliği Sorumlusu (CISO) Dr. Samer Fayssal, bir bilgisayar korsanının yalnızca bir kullanıcının e-posta adresini kullanarak popüler “sihirli bağlantı” kripto cüzdan hizmetlerini nasıl ele geçirebileceğini gösterdi.
Yeni bir CoinDesk kullanıcı cüzdanını test mankeni olarak kullanan Faysall, bir bilgisayar korsanının nasıl gerçek görünen (ve bir bakıma öyle olan) sihirli bir bağlantıyı nasıl gönderebileceğini gösterdi. Bağlantı, cüzdan hizmetinin gerçek e-posta adresinden geldi ve üzerine tıklandığında CoinDesk yazıcı cüzdanına giriş yapıldı.
Ancak Fayssal ekranını paylaştığında, bağlantıya tıklayarak CoinDesk’in cüzdanına tam erişim izni verdiğini gösterdi.
Hattaki iki Dnfs avukatıyla (görünüşe göre Dfns’nin aslında CoinDesk’i hacklemediğini kanıtlamak için), Fayssal saldırısını başka bir şifresiz kripto cüzdan hizmetine tekrarlamayı kabul etti.
Her iki gösteriminde de sihirli bağlantı e-postasını tetikleyen oturum açma isteğini CoinDesk değil Fayssal başlattı. Bir kullanıcı, bir hizmette gerçekten oturum açmaya çalışmadan bir oturum açma e-postası alırsa, e-posta tamamen gerçek görünse bile bu genellikle bir kimlik avı kırmızı bayrağıdır.
Fayssal saldırıları nasıl gerçekleştirdiğini açıklamadı ve CoinDesk’e yöntemlerinin yanlış ellere geçmesini istemediğini söyledi. Bununla birlikte, istismara karşı savunmasız olduğuna inandığı bir düzineden fazla şirkete kişisel olarak ulaştığını ve güvenlik önlemlerini uygulamalarına yardımcı olmayı teklif ettiğini söyledi.
Fayssal, sihirli bağlantı cüzdanlarının kullanıcılarına gelince, “Kullanıcılara vereceğim tavsiye, mümkün olan en kısa sürede iki faktörlü kimlik doğrulamayı uygulamaktır” dedi.
CoinDesk, Dfns’in sihirli bağlantı kullanıcıları olarak tanımladığı üç kripto şirketiyle görüştü. Hepsi Fayssal’ın bulgularının gerçek olduğunu doğruladı, ancak hepsi Dfns’nin saldırıyı “sıfır gün” olarak nitelendirerek elini abarttığını söyledi.
Dfns’nin demosunda kullandığı şirketlerden biri olan Magic Labs, bir gün sonra artık savunmasız olmadığını söyledi.
Magic Labs CEO’su Sean Li, “Magic Labs artık bu tür kimlik avına karşı savunmasız değil ve bildiğimiz kadarıyla son kullanıcılarımızdan hiçbiri etkilenmedi” dedi. “Platformumuzun güvenliğini sürekli olarak değerlendiriyor ve geliştiriyoruz.”
Sıfır gün mü yoksa kimlik avı saldırısı mı?
Web3Auth, Dfns’nin CoinDesk’e yönelik sihirli bağlantı güvenlik açığını göstermek için kullandığı diğer kripto cüzdan hizmetiydi. Web3Auth’tan Yong’a göre, sihirli bağlantı güvenlik açığı daha ciddi bir “sıfır gün” istismarı olarak nitelendirilmiyor çünkü kullanıcının çalışması için ele geçirilmiş bir sihirli bağlantıya tıklaması gerekiyor.
Yong, CoinDesk’e “Bunu bir kimlik avı saldırısı olarak görüyoruz” dedi. “Bu, kötü amaçlı bir işlem gönderen bir dApp [merkezi olmayan uygulama] bulunan MetaMask’a yönelik bir kimlik avı saldırısına benzer, kullanıcı bunu onaylar ve ardından kullanıcı, jetonlarını kötü amaçlı bir adrese falan gönderebilir.”
Sihirli bağlantı saldırısı, kullanıcı ele geçirilen e-postayı kaçırırsa, süresi dolduktan sonra bağlantıya tıklarsa veya oturum açmayı denememişken kendisine sihirli bir bağlantı gönderildiğinden şüphe duyarsa başarısız olur. (Bu son noktayla ilgili olarak) , Fayssal, bir saldırganın bağlantıyı, bir kullanıcının hedef hizmette oturum açması beklenebilecek bir zamanda ulaşması için stratejik olarak zamanlayabileceğini söylüyor).
Yong, CoinDesk’e Web3Auth’un kimlik avını önlemek için güvenlik önlemlerine sahip olduğunu söyledi, ancak bu önlemlerin Fayssal’ın güvenlik açığına karşı koymak için yeterli olmadığını kabul etti.
Bununla birlikte, Web3Auth’un kredisine, firmanın sihirli bağlantı e-postalarının altında bir oturum açma girişimini başlatan IP adresini belirten bir metin vardır. Fayssal’ın gösterisinde, kaçırılan sihirli bağlantısı CoinDesk’inkinden farklı bir IP adresinden geldi – e-posta doğrudan Web3Auth’tan gelse de bağlantının sahte olduğuna dair kolayca gözden kaçan bir ipucu.
Yong, Web3Auth’un Fayssal’ın araştırması ışığında ek kimlik avı önleme yöntemleri uygulayacağını söyledi.
Parolasız bir kripto cüzdanı sunan bir web3 geliştirme platformu olan Sequence, CoinDesk’e Dfns tarafından keşfedilen güvenlik açığını etkisiz hale getiren güvenlik önlemleri aldığını söyledi. Sequence’i oluşturan şirket Horizon’un CEO’su Peter Kieltyka, “Sequence için durumun o kadar da kötü olduğunu düşünmüyorum” dedi. “Ama biliyorsunuz, evet, diğer bazı ürünler için ek önlemler alabilirler diye düşünüyorum.”
Peter, Dfns’i sihirli bağlantı güvenlik açığının ciddiyetini bir “pazarlama numarası” olarak abartmakla suçladı.
