Segurança em WEB3 : vulnerabilidades em carteiras digitais baseadas em navegadores

Abstract

A aplicação de carteira de criptomoedas mais utilizada da rede Ethereum, Metamask, possui uma brecha que pode ser manipulada para ter acesso não permitido a uma conta. É apresentada essa falha, assim como é feito uma apresentação sobre os processos envolvidos com a chave privada e a chave publica utilizadas pela Blockchain, como elas são geradas e armazenadas pela aplicação de navegadores Metamask, além de expor métodos de criptografia como a criptografia de curva elíptica e a criptografia assimétrica. São propostas mudanças na aplicação para reparar esse problema de segurança, como o uso do endereço MAC do computador para ser usado na criptografia, apesar de conseguir fazer uma prova do conceito o resultado não é o suficiente para ser implementado na aplicação real.

Metamask is the most used crypto wallet in the Ethereum network, it has a flaw that enables unauthorized access to an existing account. This security flaw is shown and discussed in this study where it is also introduced the process behind Private and public key generation as well as how it is stored in the browser metamask application in addition to exploring how cryptographic such as Elliptic curve cryptography and Asymmetric cryptography are developed. Furthermore it is presented suggestions to fix this security flaw like using the computer’s MAC adress as part of the encryption. This was developed as proof of concept, but results are not good enough to be implemented in the real application.