Ferramentas de cabeleireiro causam acidentes de segurança, "infraestrutura alternativa" deve ser protegida contra

Original | Odaily Planet Daily

Autor | Loopy Lu

No fim de semana passado, um produto que parecia muito distante do mundo criptográfico apareceu na comunidade criptográfica. O Bit Browser, que é frequentemente usado para "abertura múltipla" e "controle de grupo", causou roubos de carteiras em grande escala, com danos que chegaram a centenas de milhares de dólares.

Anteriormente, geradores de números aleatórios, linguagens de programação de contratos inteligentes, riscos de sistemas iOS/Android, etc., causaram incidentes de segurança em grande escala. À medida que o mundo da criptografia amadurece e se torna mais complexo, a situação de segurança se torna cada vez mais perigosa e riscos aparecem silenciosamente em muitos lugares que são difíceis de serem detectados pelas pessoas...

O que é Bitbrowser?

Para a maioria dos usuários de criptografia, o nome do produto “Bit Browser” pode ser um pouco desconhecido.

Seu nome completo é "Bit Fingerprint Browser". De acordo com informações de seu site oficial, **A principal função deste produto é a simulação de ambiente, semelhante à função "sandbox", que pode simular diferentes informações de rastreamento do usuário em cada janela, incluindo IP, informações do dispositivo, informações do navegador, etc. . **

E esta série de funções serve principalmente a um objetivo: simular múltiplos usuários, para que cada "usuário" possa ter informações independentes. O navegador ainda oferece uma função de controle de grupo.

O público de mercado do Bit Browser é principalmente comércio eletrônico de comércio exterior (como Amazon, Shopee, etc.) e operações de mídia social (Facebook, Tiktok, etc.). O slogan publicitário em seu site oficial afirma - "Um navegador de bits pode gerenciar facilmente seus negócios internacionais".

Embora este produto não tenha sido projetado especialmente para usuários do mundo criptografado, sua série de funções atende às demandas da festa da lã. Portanto, um grande número de pessoas "fofas" tem usado este produto.

Existem diferentes opiniões sobre os motivos do roubo

Recentemente, um grupo de membros da comunidade “Luomao” descobriu que suas carteiras Lumao foram roubadas. Após o autoexame, todas as vítimas acreditaram que o roubo foi causado pelo uso de um navegador de impressão digital, e a causa direta foi o vazamento da chave privada.

O navegador Bitfingerprint respondeu oficialmente na comunidade o mais rápido possível: Algumas versões do WPS para Windows têm uma vulnerabilidade de execução remota de código. Um invasor pode usar essa vulnerabilidade para executar código arbitrário no host de destino da vítima, controlar o host, etc. (O que o WPS tem a ver com os usuários do Bit Browser? A explicação do Bit Browser é que, como essa vulnerabilidade é mais fácil de acionar, você pode ser hackeado após clicar em um link desconhecido.)

E como o software está longe do mundo criptografado, ele deu uma resposta ridícula por um tempo.

A resposta inicial foi amplamente divulgada como um meme pela comunidade criptográfica

A explicação do Bit Browser sem dúvida não conseguiu convencer os usuários. Em 26 de agosto, o Bit Browser acompanhou esse incidente e emitiu um anúncio dizendo: "Os dados do cache do servidor foram hackeados. As carteiras dos usuários que ativaram a função "Sincronização Estendida de Dados" correm o risco de serem roubadas. Recomenda-se transferir ativos de carteiras."

Quem é o culpado pelos acidentes de segurança?

No início do incidente, havia opiniões divergentes quanto ao motivo do roubo.

No plug-in MetaMask que usamos com frequência, a chave privada não é salva em texto simples. Portanto, os hackers dependem apenas dos dados do cache local do usuário e não podem obter o controle dos ativos do usuário.

Na transferência de carteira, além da função mais comum de “exportação”, a função “backup” é uma função que menos pessoas utilizam.

![Acidentes de segurança causados por ferramentas de escovação de cabelo, "infraestrutura alternativa" deve ser protegida] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-b205ff58fa-dd1a6f-1c6801)

Recurso "Backup" do MetaMask

Deve-se notar que a função de “backup” fornecida pelo MetaMask é completamente diferente da exportação de chaves privadas/frases mnemônicas. Após o backup, o usuário pode obter um arquivo json, também chamado de keystore. *(Odaily Planet Daily Note: Uma explicação mais simples é: chave privada = mnemônico = controle de carteira = keystore + senha) *

O mesmo se aplica aos dados armazenados em cache localmente. Então, como a carteira do usuário foi roubada?

Após dois dias de análise por todas as partes, a causa do caso foi finalmente apurada. O hacker obteve o cache estendido do usuário invadindo o servidor. **(Nota diária do Odaily Planet: Dessa forma, o hacker tem os dados locais da carteira, mas não consegue fazer login.)**Em seguida, o hacker forçou a senha da carteira com força bruta "tentando colisão de senha de plataforma de URL comum", e então obteve a permissão da carteira.

Os registros do servidor mostram que o servidor que armazena o cache estendido tem vestígios de download no início de agosto (os registros de log datam de 2 de agosto) e bloqueou vários IPs, todos endereços no exterior, exceto um endereço em Jiangsu. Segundo membros da comunidade, o caso foi aceito pela Seção Changping do Departamento de Segurança Pública de Pequim.

**E quando analisamos este incidente, descobrimos que era difícil esclarecer as responsabilidades de todas as partes. **

O primeiro é o primeiro ponto de risco: vazamento de dados do cache.

Alguns usuários questionaram, por que não criptografar os dados armazenados em cache? Bitbrowser destacou que ao sincronizar “dados estendidos”, a transmissão dos dados é criptografada. No entanto, se o arquivo EXE do programa principal do software for quebrado por hackers, os hackers poderão obter dados estendidos.

Mas confiar apenas nos dados armazenados em cache não permite obter ativos do usuário. Somente a combinação de “dados em cache + senha” pode controlar a carteira. No uso diário dos usuários, é normal que várias contas compartilhem senhas. As senhas de nossos sites Web2 comumente usados também vazam com frequência. Os hackers podem obter as senhas de outros sites Web2 e tentar “colocar credenciais” na carteira Web3 do usuário.

Além disso, a força bruta é uma possibilidade. Como o número de combinações potenciais de senhas de desbloqueio é muito menor que o número de combinações de chaves privadas, é inteiramente viável aplicar força bruta na senha de desbloqueio. (Supondo que o produto não introduza medidas preventivas, como bloquear o número máximo de tentativas malsucedidas.)

Do ponto de vista do usuário, o Bit Browser retira os dados armazenados em cache do plug-in e eventualmente causa o vazamento. É verdade que ele tem uma responsabilidade intransponível. No entanto, a falha na proteção por senha de acesso à carteira também resulta da deterioração a longo prazo do ambiente de segurança da rede.

Infraestrutura alternativa

Para desenvolvedores de software, não sabemos de onde vem o nome “Bit” de “Bit Fingerprint Browser”, mas uma coisa é clara: este produto não foi criado para o mundo da criptografia, mas simplesmente atende às necessidades do usuário criptográfico.

Quanto mais complexo for um sistema, mais pontos de risco potenciais existem, e qualquer ponto único de falha pode trazer o risco de ser hackeado.

Relembrando a era da criptografia e da selvageria, as pessoas usavam apenas a carteira Bitcoin mais básica. Naquela época, não havia links interativos como DeFi e cross-chain. Contanto que você mantenha sua chave privada, ela será segura o suficiente.

Mas agora, várias ferramentas auxiliares fora da rede e pools de fundos dentro da rede acrescentaram riscos adicionais. Cada vez mais produtos como o Bit Browser estão se tornando uma nova “infraestrutura” alternativa no mundo da criptografia. Um grande número de vulnerabilidades de segurança “não criptografadas” colocam o mundo da criptografia em perigo:

• Em 21 de agosto, hackers roubaram 3,13 milhões de USDT. O pessoal de segurança acredita que o álbum de fotos roubado do sistema Android foi comprometido e o hacker obteve uma captura de tela da chave privada do usuário.
• No início de agosto, uma grande quantidade de dinheiro foi roubada do Curve. A análise da época constatou que não houve problema com a segurança do contrato da Curve, e o motivo do roubo veio de uma vulnerabilidade em sua linguagem de programação vyper. Portanto, as piscinas aleth, peth, mseth e crveth são utilizadas.
• Em maio, a função de sincronização do Apple ID também causou o roubo de mais de 10 milhões de dólares americanos. Muitos usuários comprarão ou usarão IDs Apple dos EUA de outras pessoas. O proprietário da conta pode sincronizar os dados locais da carteira e só precisa quebrar a senha de acesso da carteira para obter o controle da carteira. Isso é exatamente igual ao incidente de roubo do Bit Browser. O valor total de fundos roubados de usuários vítimas ultrapassa 10 milhões de dólares americanos.
• Do lado do desenvolvedor, a situação de segurança é mais complexa. No caso de roubo de carteira Solana do ano passado, o ponto de risco veio do código aleatório relacionado à geração de frases mnemônicas de nível inferior.

Com a complexidade do mundo criptografado, mais e mais ferramentas, software e serviços difíceis de serem detectados pelas pessoas poderão ser incluídos no mundo criptografado no futuro, e os riscos também aumentarão.

Odaily Planet Daily gostaria de lembrá-lo de não entregar os dados locais de sua carteira a terceiros ou autorizá-los excessivamente. Além disso, devido à natureza oculta do risco, tenha cuidado ao usar meios eletrônicos para salvar chaves privadas/frases mnemônicas. Não instale muitos softwares desconhecidos em computadores que realizam operações de criptografia com frequência.

Leitura Relacionada

"Incidentes de hackers ocorrem com frequência, aceite este guia anti-roubo de criptografia"