• 發布單位:TWCERT/CC
• 更新日期:2022-04-29
• 點閱次數:5438

Everscale 區塊鏈上的加密貨幣錢包，日前遭資安廠商 Check Point 旗下的資安專家發現存有嚴重漏洞，可能導致用戶資金遭竊之後，開發公司 Ever Surf 立即關閉停用該加密貨幣錢包的 web 版本，以免用戶因此漏洞而招致財物損失。

資安廠商 Check Point 的研究人員，日前發表研究報告指出，Ever Surf 為 Everscale 區塊鏈開發的加密貨幣錢包，內含一個嚴重資安漏洞；駭侵者可利用此漏洞，輕鬆破解存於瀏覽器本地儲存區中，由用戶持有的私有加密金鑰與錢包存取權復原短語。駭侵者可以藉此完全控制用戶的加密貨幣錢包，並將存於錢包位址內的資金任意轉出，造成用戶的損失。

Check Point 報告說，這個漏洞使得密鑰破解變得十分簡單快速，駭侵者可利用消費級的電腦設備，在幾分鐘內就可以破解用戶私鑰。

Ever Surf 在接獲 Check Point 公司的漏洞通報後，立即關閉了 web 版本加密錢包的服務；該公司在對外的聲明中指出，正在和 Check Point 密切合作，以便解決這個問題。

該公司也強調，這個問題只會發生在 web 介面，不會發生在為行動裝置原生開發的 app（包括 iOS 與 Android 版本），原因是桌面版瀏覽器缺少行動裝置擁有的不重覆裝置識別碼。

該公司要求使用 web 版加密貨幣錢包的用戶，應該改用桌面應用程式版本；截至目前為止，各版本的加密錢包約有 67 萬名用戶，已進行 3,160 萬次交易，但該公司無法估算有多少用戶使用 web 版本的加密貨幣錢包。