Beberapa Magic Links – metode masuk tanpa kata sandi yang dianut oleh semakin banyak dompet kripto dan aplikasi web – memiliki kerentanan kritis, menurut startup dompet kripto Dfns.

Dfns menawarkan layanan dompet dan didukung oleh perusahaan termasuk White Star Capital, Hashed, Susquehanna, Coinbase Ventures, dan ABN AMRO.

Magic Links adalah URL unik sekali pakai yang dibuat oleh situs web atau aplikasi untuk mengautentikasi pengguna tanpa mengharuskan mereka memasukkan kata sandi. Saat pengguna mengeklik Magic Links yang dikirimkan kepada mereka oleh aplikasi web, itu memverifikasi identitas mereka dan mencatatnya ke akun mereka.

Awalnya dipelopori oleh Slack dan aplikasi Web2 populer lainnya, Magic Links telah menjadi metode masuk yang semakin umum untuk dompet kripto. Alih-alih mengharuskan pengguna untuk mengingat kunci yang rumit atau frase awal, Magic Links dipromosikan sebagai cara yang lebih cepat, lebih sederhana, dan lebih aman untuk masuk.
Namun Dfns mengatakan Magic Links – yang dapat diterapkan secara berbeda dari satu aplikasi ke aplikasi lainnya – seringkali jauh lebih tidak aman daripada metode masuk yang lebih tradisional.

Dfns mengkategorikan kerentanan yang ditemukannya sebagai eksploitasi “zero day” – sangat parah sehingga pada dasarnya membuat Magic Links beracun bagi pengembang. Mengingat Magic Links di mana-mana di luar hanya dompet crypto (mereka digunakan oleh beberapa pengelola kata sandi populer, misalnya), Dfns mengatakan dalam sebuah pernyataan bahwa kerentanan dapat “menimbulkan risiko yang cukup besar bagi sebagian besar ekonomi global. ”

Layanan yang terkena dampak kerentanan, bagaimanapun, secara signifikan mengecilkan risikonya terhadap CoinDesk, menyebutnya sebagai jenis serangan phishing yang lebih jinak – meskipun masih mengkhawatirkan.

Selain itu, beberapa dompet populer mengeluh bahwa Dfns memberi mereka pemberitahuan tiga hari sebelumnya sebelum bergegas untuk mempublikasikan temuan mereka, jauh dari standar yang diterima secara umum untuk pengungkapan kerentanan. Selain itu, mereka menambahkan bahwa Dfns memiliki kepentingan dalam meremehkan layanan dompet tanpa kata sandi; Model bisnis Dfns melibatkan pengamanan kata sandi crypto untuk pelanggannya.
Meskipun tidak semua orang setuju dengan karakterisasi Dfns tentang tingkat keparahan temuannya, individu yang berbicara dengan CoinDesk mencatat bahwa temuan tersebut menyoroti bagaimana beberapa perusahaan cryptocurrency yang terobsesi dengan pertumbuhan memprioritaskan kenyamanan daripada keamanan dalam upaya untuk menarik pengguna.

“Di awal tahun 2000-an, nama pengguna dan kata sandi terus-menerus disusupi. Tapi hari ini kami memiliki autentikasi dua faktor, OTP (kata sandi satu kali),” dan metode masuk lainnya yang lebih aman, kata CEO Web3Auth Zhen Yu Yong kepada CoinDesk. (Web3Auth menawarkan layanan masuk tanpa kata sandi yang rentan terhadap eksploit yang ditemukan Dfns.) Industri crypto "masih banyak menggunakan frase unggulan faktor tunggal – autentikasi faktor tunggal."

Membajak Magic Links
Dalam demonstrasi tentang Zoom, Kepala Petugas Keamanan Informasi (CISO) Dfns Dr. Samer Fayssal menunjukkan bagaimana seorang peretas dapat membajak layanan dompet kripto "Magic Links" yang populer hanya dengan menggunakan alamat email pengguna.

Menggunakan dompet pembakar CoinDesk baru sebagai boneka percobaan, Faysall mendemonstrasikan bagaimana seorang peretas dapat mengirim Magic Links yang tampak (dan, dalam arti tertentu) asli. Tautan tersebut berasal dari alamat email asli layanan dompet dan mengkliknya masuk ke dompet pembakar CoinDesk.
Tetapi ketika Fayssal membagikan layarnya, dia menunjukkan bahwa dengan mengklik tautan, CoinDesk secara tidak sengaja memberinya akses penuh ke dompetnya.

Dengan dua pengacara Dnfs di telepon (tampaknya untuk membuktikan fakta bahwa Dfns sebenarnya tidak meretas CoinDesk), Fayssal setuju untuk mengulangi serangannya pada layanan dompet crypto tanpa kata sandi lainnya.

Dalam kedua demonstrasinya, Fayssal – bukan CoinDesk – memprakarsai permintaan masuk yang memicu email Magic Links. Jika pengguna menerima email masuk tanpa benar-benar mencoba masuk ke layanan, ini biasanya merupakan tanda bahaya phishing – bahkan jika email tersebut tampak benar-benar asli.

Fayssal tidak akan menjelaskan bagaimana dia melakukan serangan, memberi tahu CoinDesk bahwa dia tidak ingin metodenya jatuh ke tangan yang salah. Dia mengatakan, bagaimanapun, bahwa dia secara pribadi telah menjangkau lebih dari selusin perusahaan yang dia yakini rentan terhadap eksploitasi dan telah menawarkan untuk membantu mereka menerapkan perlindungan.

Untuk pengguna dompet Magic Links,

“saran yang akan saya berikan kepada pengguna adalah menerapkan autentikasi dua faktor sesegera mungkin, jika memungkinkan,”

kata Fayssal.

CoinDesk berbicara dengan tiga perusahaan crypto yang diidentifikasi Dfns sebagai pengguna Magic Links. Semuanya menegaskan bahwa temuan Fayssal itu asli, tetapi mereka semua mengatakan Dfns terlalu mempermainkan tangannya dengan menyebut serangan itu sebagai "hari nol".

Magic Labs, salah satu perusahaan yang digunakan Dfns dalam demonya, mengatakan sehari kemudian bahwa mereka tidak lagi rentan.

"Magic Labs tidak lagi memiliki kerentanan terhadap jenis phishing ini, dan sepengetahuan kami, tidak ada pengguna akhir kami yang terpengaruh,"

kata Sean Li, CEO Magic Labs. "Kami terus mengevaluasi dan meningkatkan keamanan platform kami."

Zero day atau serangan phishing?
Web3Auth adalah layanan dompet crypto lain yang digunakan Dfns untuk mendemonstrasikan kerentanan Magic Links ke CoinDesk. Menurut pendapat Web3Auth's Yong, kerentanan Magic Links tidak memenuhi syarat sebagai eksploitasi "hari nol" yang lebih parah karena pengguna perlu mengeklik Magic Links yang dibajak agar dapat berfungsi.

“Kami melihat ini sebagai serangan phishing,”

kata Yong kepada CoinDesk.

“Ini mirip dengan serangan phishing di MetaMask, di mana ada dapp [aplikasi terdesentralisasi] yang mengirimkan transaksi jahat, pengguna menyetujuinya, lalu pengguna mungkin mengirim token mereka ke alamat jahat atau semacamnya.”

Serangan Magic Links gagal jika pengguna melewatkan email yang dibajak, mengklik tautan setelah kedaluwarsa, atau merasa curiga bahwa mereka telah dikirimi Magic Links ketika mereka tidak mencoba masuk. (Mengenai poin terakhir ini , Fayssal mengatakan bahwa penyerang dapat secara strategis mengatur waktu tautan untuk tiba saat pengguna mungkin diharapkan masuk ke layanan target.)

Yong memberi tahu CoinDesk bahwa Web3Auth memiliki perlindungan untuk mencegah phishing, meskipun dia mengakui bahwa perlindungan ini tidak cukup untuk melawan kerentanan Fayssal.

Namun, untuk kredit Web3Auth, perusahaan memiliki teks di bagian bawah email Magic Linksnya yang menentukan alamat IP yang memulai upaya masuk. Dalam demonstrasi Fayssal, Magic Linksnya yang dibajak berasal dari alamat IP yang berbeda dari CoinDesk – petunjuk yang mudah dilewatkan bahwa tautan itu palsu meskipun email itu datang langsung dari Web3Auth.

Yong mengatakan Web3Auth akan menerapkan metode anti-phishing tambahan sehubungan dengan penelitian Fayssal.

Sequence, sebuah platform pengembangan web3 yang menawarkan dompet crypto tanpa kata sandi, mengatakan kepada CoinDesk bahwa mereka menerapkan perlindungan yang membuat kerentanan yang ditemukan Dfns menjadi tidak efektif.

“Untuk Sequence, menurut saya tidak seburuk itu sama sekali,”

kata Peter Kieltyka, CEO di Horizon, perusahaan yang membangun Sequence.

“Tapi tahukah Anda, ya, untuk beberapa produk lain, saya pikir mereka dapat mengambil tindakan tambahan.”

Peter menuduh Dfns melebih-lebihkan keparahan kerentanan Magic Links sebagai "aksi pemasaran".