Pesquisa Identifica Vazamento de Endereços e Riscos de Rastreamento em 85 Extensões de Carteiras Cripto

Pesquisa Identifica Vazamento de Endereços e Riscos de Rastreamento em 85 Extensões de Carteiras Cripto

Falhas de design no funcionamento padrão das carteiras permitem vincular identidades e rastrear usuários entre sites, afetando milhões de instalações no Chrome Web Store.

Componente85 extensões de navegador de carteiras cripto (Web3), incluindo versões de MetaMask, Coinbase Wallet, Coin98, Rabby, OKX, Bybit, Backpack, Core e Hana Wallet.
VetorVazamento de endereços em texto claro durante requisições a servidores de blockchain (RPC) e exposição do objeto de provedor da carteira (ex: window.ethereum) dentro de iframes embutidos, permitindo leitura não autorizada por scripts de rastreamento.
ImpactoVinculação de múltiplos endereços de criptomoedas a um único perfil de usuário, habilitando rastreamento cruzado entre sites e permitindo que atores de ameaça vinculem identidades reais (nome, e-mail) a transações financeiras supostamente anônimas.
PrioridadeAuditoria e revogação manual de permissões de sites antigos nas extensões, uso de perfis de navegador isolados para diferentes atividades financeiras e atualização para versões que mitigam a injeção em frames.
Resumo técnico

Pesquisadores do grupo de segurança DistriNet, da Universidade KU Leuven, realizaram uma análise abrangente sobre a privacidade das 85 extensões de carteiras cripto mais populares disponíveis no Chrome Web Store. O estudo revelou que o comportamento operacional padrão dessas extensões permite vazamento de informações suficientes para vincular e rastrear usuários através de diferentes domínios. Diferente de explorações de vulnerabilidades tradicionais ou malwares, o problema identificado é intrínseco ao design de comunicação das carteiras com sites e servidores de blockchain. As 85 extensões analisadas somam aproximadamente 35 milhões de usuários, indicando uma superfície de ataque massiva para deanomização de perfis financeiros.

A pesquisa, que será apresentada na conferência de privacidade PETS 2026, mapeou cinco fraquezas fundamentais na interação entre carteiras e aplicações Web3. O cerne do problema reside na forma como as carteiras gerenciam requisições de saldo e como os objetos de conexão são expostos no ambiente do navegador. Embora o foco principal tenha sido o vazamento de endereços, o estudo demonstrou que essas falhas permitem cruzar dados de navegação convencionais com registros públicos de blockchain, possibilitando a associação entre uma identidade digital pseudônima e uma pessoa física.

Fluxo técnico

O primeiro vetor de vazamento identificado ocorre durante a comunicação da carteira com servidores de rede (nodes RPC) para consultar saldos ou estados de transações. Para exibir o saldo corretamente, a carteira envia requisições contendo o endereço do usuário em texto claro para o operador do servidor. O estudo constatou que 17 das carteiras analisadas expõem conexões entre múltiplos endereços de um mesmo usuário. Treze delas fazem isso de forma explícita, agrupando mais de um endereço em uma única requisição, o que vincula essas contas imediatamente no lado do servidor. Outras quatro carteiras revelam essa vinculação por meio de correlações temporais, disparando requisições para endereços diferentes em um intervalo de poucos milissegundos, criando um sinal forte de que pertencem à mesma entidade.

O segundo e mais crítico vetor envolve a persistência do acesso via injeção de provedores em iframes (molduras embutidas). Quando um usuário conecta sua carteira a um site (dApp), a extensão injeta um objeto de provedor JavaScript na página. A premissa esperada é que, ao desconectar, o site perca o acesso. No entanto, a pesquisa demonstrou que 30 aplicações Web3 populares não enviam um comando real de revogação quando o usuário clica em 'Disconnect' ou 'Logout', apenas limpando a interface visual. Além disso, 23 das 36 carteiras problemáticas permitem que o endereço seja lido por scripts que rodam dentro de iframes de terceiros.

O cenário de ataque explorado pelos pesquisadores envolve um script de rastreamento comum que opera tanto em um aplicativo cripto autorizado quanto em um site comum. No site comum, o script carrega silenciosamente o aplicativo cripto em um iframe invisível. Como o aplicativo já está autorizado e a carteira responde a requisições dentro desse contexto, o script consegue ler o endereço da carteira sem qualquer interação ou clique do usuário. Isso permite que um usuário identificado em um contexto (por exemplo, um site de e-commerce) seja rastreado e perfilado em suas atividades cripto, ou vice-versa.

Superfície afetada

A análise Técnica abrangeu 85 extensões, com foco intenso em um grupo de 36 que apresentam os comportamentos de vazamento mais significativos, representando cerca de 82% das instalações totais estudadas. Isso significa que aproximadamente 23 milhões de instalações estão suscetíveis à vinculação de endereços e rastreamento cruzado. Entre os fornecedores citados no relatório de divulgação responsável, grandes nomes do mercado foram notificados sobre os riscos de injeção em frames. A resposta dos fornecedores foi heterogênea: enquanto Coinbase Wallet, Coin98 e Hana Wallet implementaram correções até o reteste de fevereiro de 2026, outros grandes players optaram por não tratar o problema como uma vulnerabilidade.

Empresas como MetaMask classificaram o relato como um problema conhecido e duplicado, argumentando que interromper a injeção do provedor quebraria a compatibilidade com uma vasta gama de aplicações existentes. Outros provedores, como Rabby, desconsideraram o risco alegando que o ataque exigiria a execução do mesmo script malicioso em dois sites simultaneamente, cenário que consideraram 'virtualmente impossível'. OKX reconheceu a correção técnica do problema, mas arquivou o caso como apenas 'informativo', sob a justificativa de que a exposição de dados não constitui roubo de fundos. Bybit, Backpack e Core categorizaram o risco como baixo ou fora do escopo de segurança.

Hunting e telemetria

A detecção dessas atividades de rastreamento no nível de rede e endpoint exige a análise de tráfego JSON-RPC saindo do navegador. Equipes de segurança devem procurar por padrões de requisições onde múltiplos endereços são encapsulados no mesmo payload ou onde sequências de consultas de saldo para endereços diferentes ocorrem em janelas de tempo extremamente curtas (subsegundos). A telemetria de proxy de sangue corporativo pode ser configurada para alertar sobre o envio de endereços de carteira para endpoints de RPC não regulamentados ou desconhecidos, embora o vazamento ocorra frequentemente para servidores legítimos operados por terceiros.

No lado da aplicação web, a análise defensiva deve focar na inspeção de scripts de terceiros que utilizam a tag iframe para carregar recursos de dApps conectados. ferramentas de scanner dinâmico de aplicativos (DAST) podem ser usadas para verificar se a aplicação permite seu próprio embaralhamento (embedding) sem restrições de cabeçalhos X-Frame-Options ou Content-Security-Policy. A presença do objeto de provedor (como window.ethereum ou window.solana) acessível dentro do contexto de iframes de origens distintas é um indicador definitivo de suscetibilidade ao vazamento de endereços. Além disso, a auditoria de fluxos de 'logout' em aplicações Web3 deve verificar se um comando real de revogação de permissão é enviado para a extensão, em vez de apenas limpar o estado da sessão local.

Mitigação

A mitigação imediata para usuários envolve a higiene rigorosa das permissões conced às extensões de carteira. É essencial acessar as configurações da carteira e revogar manualmente o acesso a qualquer site ou aplicativo descentralizado que não esteja em uso ativo, interrompendo o vetor de rastreamento baseado em permissões obsoletas. Estratégias de defesa em profundidade recomendam o uso de perfis de navegador distintos ou 'navegação anônima' para separar atividades de navegação comum de operações financeiras cripto, dificultando a correlação cross-site por scripts de rastreamento. O uso de carteiras descartáveis ('burner wallets') para interações de baixo risco também reduz a exposição da identidade principal.

Em nível organizacional e de desenvolvimento, a correção definitiva requer mudanças no design das carteiras e nos padrões do ecossistema Web3. As carteiras devem implementar restrições estritas para impedir que seus objetos de provedor sejam acessíveis por scripts rodando em iframes de origens cruzadas, especialmente após uma desconexão. O ecossistema precisa padronizar o comportamento de 'desconexão', obrigando os dApps a enviarem comandos de revogação criptograficamente válidos para a carteira e limparem tokens de sessão. Enquanto as alterações de design não são adotadas universalmente, a privacidade do usuário continua dependendo exclusivamente de práticas de isolamento do navegador e gestão seletiva de permissões.

  • Revogar permissões de sites antigos diretamente nas configurações da extensão da carteira.
  • Utilizar perfis de navegador separados ou isolamento de contexto para atividades financeiras.
  • Adotar carteiras 'burner' para interações de baixo valor ou testes.
  • Monitorar e bloquear scripts de terceiros que tentem carregar dApps em iframes invisíveis.

Postar um comentário

0 Comentários