Una vulnerabilidad importante en las populares billeteras de criptomonedas basadas en el navegador permite a los atacantes robar fondos sin interacción o aprobación del usuario.
Estos defectos importantes descubiertos en billeteras como Star Cargo Bews, Frontier Billets y Coin98 representan un cambio importante en el vector de ataque contra los usuarios criptográficos.
A diferencia de los ataques de phishing tradicionales, que requieren que los usuarios aprueben transacciones maliciosas, estas vulnerabilidades permiten a los atacantes emitir fondos simplemente alentando a los usuarios a acceder a sitios web comprometidos.
No se requiere aprobación de conexión de billetera, firma de transacciones u otra interacción del usuario.
“Solo visitar el sitio equivocado puede exponer en silencio las frases de recuperación, permitiendo a los atacantes descargar fondos cuando quieran”, explicaron los investigadores de monedas que identificaron la vulnerabilidad.
“Pueden esperar hasta que su billetera esté bien equilibrada, lo que dificulta el seguimiento de las violaciones”.
La vulnerabilidad de la extensión de la billetera del navegador expone claves privadas
Este defecto proviene de una debilidad de arquitectura en cuanto a cómo las extensiones de billetera del navegador implementan la forma en que se pasan los mensajes entre los componentes.
En una arquitectura de billetera estándar, una aplicación distribuida (DAPP) interactúa con la billetera a través de una API de proveedor inyectada por un script de contenido que se comunica con un script de fondo que puede acceder a una clave privada.
Los investigadores han descubierto una seria vulnerabilidad (CVE-2023-40580) en el barco de carga, la billetera de blockchain estelar oficial. Esta billetera usó un solo manejador para manejar las comunicaciones de la UI y la API del proveedor.
Este diseño crea confusión entre las fuentes de mensajes y permite a los atacantes realizarlo.
Al manipular el parámetro de tipo a través del oyente de mensajes de script de contenido, los atacantes pueden activar funciones internas para la interfaz de usuario de la billetera y acceder a la frase de recuperación secreta del usuario.
Las billeteras fronterizas sufrieron una vulnerabilidad similar en la que la API de su proveedor expone un método interno que devuelve el estado de la billetera que contiene frases de recuperación cifradas.
A pesar de usar puertos separados para conexiones, los atacantes pueden acceder a esta información incluso cuando la billetera está bloqueada.
Mientras tanto, la billetera Coin98 contiene una vulnerabilidad que permite a un atacante enviar un mensaje creado creando un parámetro ISDEV: verdadero en un script de contenido. El script de fondo cree que el comando proviene de una interfaz de usuario de billetera legítima en lugar de un sitio malicioso.
Impactos de seguridad graves
Estas vulnerabilidades evitan los modelos de seguridad tradicionales de varias maneras.
Riesgo de preconexión: los sitios maliciosos pueden interactuar con la billetera antes de que los usuarios acepten la conexión. Explotación silenciosa: se produce un ataque sin previo aviso del usuario. Acceso a la llave directa: los atacantes también pueden obtener frases de recuperación secretas en billeteras bloqueadas. Explotación tardía: los piratas informáticos pueden esperar hasta que su billetera contenga fondos importantes antes de atacar.
Durante el año pasado, los cibercriminales han robado alrededor de $ 58.98 millones de más de 63,000 víctimas que utilizan una tecnología de drenaje de billetera similar.
Las vulnerabilidades identificadas se han parcheado con una versión actualizada de la billetera afectada. Los usuarios inmediatamente:
Actualice el barco de carga Star a la versión 5.3.1 o posterior. Asegúrese de que su billetera fronteriza se actualice a una versión lanzada a partir del 22 de noviembre de 2024. Use solo la versión actualizada de la billetera Coin98.
Si cree que su billetera está comprometida, los expertos en seguridad recomiendan que transfiera inmediatamente los tokens restantes a su billetera recién creada y deje de usar la billetera comprometida.
A medida que crece la adopción de criptomonedas, los investigadores de seguridad advierten que es probable que existan vulnerabilidades similares en otras billeteras del navegador, especialmente aquellas basadas en bases de código no probadas.
Los usuarios deben permanecer atentos y priorizar con las prácticas de seguridad establecidas a medida que estas sofisticadas técnicas de drenaje silencioso se vuelven más comunes en los arsenales de los atacantes.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
