La società di portafogli Cripto Dfns afferma che i "Magic Links" presentano una vulnerabilità critica

Secondo la startup di portafogli Cripto Dfns, alcuni magic link, un metodo di accesso senza password adottato da un numero crescente di Cripto e app web, presentano una vulnerabilità critica.

Dfns offre servizi di portafoglioed è sostenuto da aziende tra cui White Star Capital, Hashed, Susquehanna, Coinbase Ventures e ABN AMRO.

Un magic LINK è un URL univoco e monouso generato da un sito web o da un'app per autenticare un utente senza richiedergli di immettere una password. Quando un utente clicca su un magic LINK inviatogli da un'app web, verifica la sua identità e lo fa accedere al suo account.

Inizialmente guidati da Slack e altre popolari app Web2, i magic link sono diventati un metodo di accesso sempre più comune per i portafogli Cripto . Invece di richiedere agli utenti di ricordare una chiave complessa o una frase seed, i magic link vengono promossi come un modo più rapido, semplice e sicuro per accedere.

Ma Dfns afferma che i link magici, che possono essere implementati in modo diverso da un'app all'altra, sono spesso molto meno sicuri dei metodi di accesso più tradizionali.

Dfns categorizza la vulnerabilità scoperta comeun exploit “zero day” – così grave da rendere sostanzialmente tossici i magic link per gli sviluppatori. Data l'ubiquità dei magic link oltre i semplici portafogli Cripto (sono utilizzati da alcuni noti gestori di password, ad esempio), Dfns ha affermato in una dichiarazione che la vulnerabilità potrebbe "​​rappresentare un rischio considerevole per una parte sostanziale dell'economia globale".

I servizi interessati dalla vulnerabilità, tuttavia, hanno notevolmente minimizzato il rischio per CoinDesk, definendolo una specie di malware più benigna, anche se comunque preoccupante. attacco di phishing. Inoltre, diversi portafogli popolari si sono lamentati del fatto che Dfns ha dato loro un preavviso di appena tre giorni prima di affrettarsi a pubblicizzare le loro scoperte,ben al di sotto degli standard comunemente accettati per la Dichiarazione informativa delle vulnerabilitàHanno aggiunto, inoltre, che Dfns ha un interesse personale nel denigrare i servizi di portafoglio senza password; il modello di business di Dfns prevede la salvaguardia delle password Cripto per i suoi clienti.

Sebbene non tutti siano d'accordo con la definizione data da Dfns alla gravità delle sue scoperte, le persone che hanno parlato con CoinDesk hanno notato che i risultati hanno evidenziato come alcune aziende Criptovaluta ossessionate dalla crescita abbiano dato priorità alla praticità rispetto alla sicurezza nel tentativo di attrarre utenti.

"All'inizio degli anni 2000, nomi utente e password venivano costantemente compromessi. Ma oggi abbiamo l'autenticazione a due fattori, OTP (password monouso)" e altri metodi di accesso più sicuri, ha detto a CoinDesk il CEO di Web3Auth Zhen Yu Yong. (Web3Auth offre un servizio di accesso senza password che era vulnerabile all'exploit scoperto da Dfns.) Il settore Cripto "sta ancora utilizzando frasi iniziali a fattore singolo, ovvero l'autenticazione a fattore singolo".

Dirottamento dei link magici

In una dimostrazione su Zoom, il Chief Information Security Officer (CISO) del Dfns, il dott. Samer Fayssal, ha mostrato come un hacker può dirottare i popolari servizi di Cripto "magic LINK " utilizzando semplicemente l'indirizzo e-mail di un utente.

Utilizzando un nuovo wallet burner CoinDesk come test dummy, Faysall ha dimostrato come un hacker potrebbe inviare un LINK magico che sembrava (ed era, in un certo senso) autentico. Il LINK proveniva dal vero indirizzo email del servizio wallet e cliccandoci sopra si accedeva al wallet burner CoinDesk .

Ma quando Fayssal ha condiviso il suo schermo, ha mostrato che cliccando sul LINK, CoinDesk gli aveva inavvertitamente concesso pieno accesso al suo portafoglio.

Con due avvocati di Dnfs in prima linea (apparentemente per attestare il fatto che Dfns non stava effettivamente hackerando CoinDesk), Fayssal accettò di ripetere il suo attacco a un altro servizio di portafoglio Cripto senza password.

In entrambe le dimostrazioni, Fayssal, non CoinDesk , ha avviato la Request di accesso che ha attivato un'e-mail LINK magico. Se un utente riceve un'e-mail di accesso senza effettivamente provare ad accedere a un servizio, questo è in genere un segnale di phishing, anche se l'e-mail sembra completamente autentica.

Fayssal non ha voluto spiegare come ha portato a termine gli attacchi, dicendo a CoinDesk che T voleva che i suoi metodi finissero nelle mani sbagliate. Ha detto, tuttavia, di aver contattato personalmente più di una dozzina di aziende che ritiene vulnerabili all'exploit e si è offerto di aiutarle a implementare misure di sicurezza.

Per quanto riguarda gli utenti dei portafogli magic LINK , "il consiglio che darei agli utenti è di implementare l'autenticazione a due fattori il prima possibile, se possibile", ha affermato Fayssal.

CoinDesk ha parlato con tre delle aziende Cripto che Dfns ha identificato come utenti di magic link. Tutte hanno confermato che le scoperte di Fayssal erano autentiche, ma hanno tutte affermato che Dfns stava esagerando definendo l'attacco uno "zero day".

Magic Labs, ONE delle aziende utilizzate da Dfns nella sua demo, ha dichiarato il giorno dopo di non essere più vulnerabile.

"Magic Labs non è più vulnerabile a questo tipo di phishing e, a nostra conoscenza, nessuno dei nostri utenti finali è stato colpito", ha affermato Sean Li, CEO di Magic Labs. "Stiamo costantemente valutando e migliorando la sicurezza della nostra piattaforma".

Attacco zero-day o phishing?

Web3Auth è stato l'altro servizio di portafoglio Cripto che Dfns ha utilizzato per dimostrare la vulnerabilità del magic LINK a CoinDesk. Opinioni Yong di Web3Auth, la vulnerabilità del magic LINK T si qualifica come un exploit "zero day" più grave perché l'utente deve cliccare su un magic LINK dirottato affinché funzioni.

"Lo vediamo come un attacco di phishing", ha detto Yong a CoinDesk. "È simile a un attacco di phishing su MetaMask, dove c'è una dapp [app decentralizzata] che invia una transazione dannosa, l'utente la approva, quindi l'utente potrebbe inviare i propri token a un indirizzo dannoso o qualcosa del genere".

L'attacco LINK magico fallisce se l'utente non si accorge dell'e-mail rubata, clicca sul LINK dopo la sua scadenza o ritiene sospetto di aver ricevuto un LINK magico T aver provato ad accedere. (Per quanto riguarda quest'ultimo punto, Fayssal afferma che un aggressore potrebbe programmare strategicamente il LINK in modo che arrivi nel momento in cui ci si aspetterebbe che l'utente acceda al servizio di destinazione.)

Yong ha dichiarato a CoinDesk che Web3Auth adotta misure di sicurezza per prevenire il phishing, pur ammettendo che tali misure T sono sufficienti a contrastare la vulnerabilità di Fayssal.

A merito di Web3Auth, tuttavia, l'azienda ha del testo in fondo alle sue email di magic LINK che specifica l'indirizzo IP che ha avviato un tentativo di accesso. Nella dimostrazione di Fayssal, il suo magic LINK dirottato proveniva da un indirizzo IP diverso da quello di CoinDesk, un indizio facile da ignorare che il LINK fosse fraudolento, anche se l'email proveniva direttamente da Web3Auth.

Yong ha affermato che Web3Auth implementerà ulteriori metodi anti-phishing alla luce della ricerca di Fayssal.

Sequence, una piattaforma di sviluppo web3 che offre un portafoglio Cripto senza password, ha detto a CoinDesk di aver messo in atto delle misure di sicurezza che hanno reso inefficace la vulnerabilità scoperta da Dfns. "Per Sequence, T penso che sia così grave", ha detto Peter Kieltyka, CEO di Horizon, la società che crea Sequence. "Ma sai, sì, per alcuni altri prodotti, penso che potrebbero prendere misure aggiuntive".

Peter ha accusato Dfns di aver esagerato la gravità della vulnerabilità del LINK magico definendola una "trovata di marketing".