¿Cómo evitar el riesgo de pérdida de activos si la billetera encriptada del navegador se daña?

En el entorno actual de Internet, diversas amenazas de seguridad surgen constantemente. Instalar un software antivirus puede ayudar a los usuarios a prevenir programas maliciosos y aumentar la seguridad del sistema. Sin embargo, el software antivirus solo puede reducir riesgos y no garantiza una seguridad absoluta. La lucha es un proceso dinámico, y la instalación de software antivirus es solo el primer paso para mejorar la seguridad. Al mismo tiempo, el software antivirus también puede presentar casos de falsos positivos, lo que conlleva riesgos adicionales.

Recientemente, algunos usuarios han informado que, después de usar software antivirus, algunas extensiones del navegador (especialmente las extensiones de billetera de encriptación) fueron falsamente detectadas como malware, lo que resultó en que los archivos JavaScript de las extensiones fueran aislados o eliminados, dañando finalmente la billetera de la extensión y haciéndola inutilizable.

Para los usuarios de Web3, esta situación es especialmente grave, ya que las extensiones de billetera encriptación suelen almacenar claves privadas, y si se manejan de manera inadecuada, pueden resultar en la pérdida de datos de la billetera, e incluso en la incapacidad de recuperar activos. Por lo tanto, es crucial entender cómo restaurar correctamente los datos de la extensión que han sido aislados por error.

¿Cómo manejar?

Si se encuentra que un falso positivo del software antivirus ha causado daños en la extensión del navegador, se recomienda seguir los siguientes pasos para la recuperación:

1. Recuperar archivos desde la zona de aislamiento, no desinstale la extensión

Si encuentras que algún software o extensión no puede ejecutarse, lo primero que debes hacer es revisar la "Billetera"( Quarantine) o "historial"( History) de tu antivirus, buscando archivos que hayan sido falsamente reportados. No elimines los archivos en cuarentena.

• Si el archivo aún está en la zona de aislamiento, seleccione "Restaurar"(Restore) y añada el archivo o la extensión a la lista de confianza para evitar falsos positivos nuevamente.
• Si el archivo ha sido eliminado, verifique si hay copias de seguridad automáticas o use herramientas de recuperación de datos para recuperarlo.
• Recuerda: ¡no desinstales la extensión! Incluso si la extensión está dañada, todavía pueden existir archivos relacionados con la encriptación de claves privadas en el dispositivo local, lo que podría permitir la recuperación.

2. Hacer una copia de seguridad y buscar datos de extensión locales

Los datos de extensión generalmente se almacenan en el disco local, incluso si la extensión no se puede abrir, aún se pueden encontrar datos relacionados para la recuperación (ID de extensión como ejemplo de una billetera conocida):

• Ruta de Windows de referencia: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Referencia de ruta de Mac:

~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Es importante tener en cuenta que si Chrome utiliza múltiples configuraciones de cuenta, "Default" en la ruta puede convertirse en "Profile 1" o "Profile 2". Es necesario verificar el directorio específico del perfil y ajustar la ruta según la situación real. Se recomienda hacer una copia de seguridad del directorio completo de la extensión objetivo lo antes posible, para poder restaurarlo en caso de problemas.

3. Método de recuperación brusca: sobrescribir el directorio de extensión local

Si una falsa alarma provoca daños en la extensión, la forma más directa de solucionarlo es en una nueva computadora o en un nuevo entorno del navegador, sobrescribir directamente los datos de la extensión respaldados en el directorio de la extensión correspondiente a la ruta local, y luego reiniciar el programa de extensión.

4. Métodos de recuperación avanzados: descifrado manual de datos de claves privadas

Si la extensión aún no se puede abrir o los datos están faltando, se puede intentar un método de recuperación más avanzado, es decir, desencriptar manualmente los datos de la clave privada para recuperar. Tomando como ejemplo una conocida Billetera:

• Busca la ID de la extensión localmente en la computadora y encuentra el directorio correspondiente.
• Este directorio puede contener archivos ldb/log, que almacenan datos de claves privadas encriptadas. Se puede utilizar la herramienta de desencriptación oficial de Vault para desencriptar. copiar el contenido encriptado del archivo ldb/log

Si la extensión todavía puede abrir ciertas páginas, intenta ejecutar un código específico para obtener datos de la clave privada encriptada, y luego copia los datos a la herramienta de descifrado Vault para desencriptarlos.

5. Escribir herramientas de recuperación personalizadas

Si los métodos anteriores no pueden recuperar los datos de la Billetera, el usuario puede escribir un script por sí mismo para extraer los datos de almacenamiento extendido del archivo de base de datos local y luego realizar la encriptación.

Las billeteras de complementos suelen almacenar datos sensibles en bases de datos o archivos en el sistema local. Las billeteras de extensiones de navegador utilizan la API de almacenamiento proporcionada por el navegador para guardar los datos encriptados en el área de almacenamiento local del navegador, generalmente en sistemas de bases de datos como LevelDB o IndexedDB. Independientemente del tipo de billetera, un principio clave es que los datos siempre se almacenan en forma encriptada, asegurando que, incluso si los datos son copiados, no se puedan acceder sin la contraseña correcta.

La mayoría de las billeteras encriptadas utilizan una arquitectura de múltiples capas de encriptación para mejorar la seguridad. Primero, la contraseña principal del usuario se utiliza para encriptar una clave intermedia (a menudo llamada "clave de encriptación" o "clave de desencriptación"). Luego, esta clave intermedia se utiliza para encriptar la clave privada real o la frase mnemotécnica. Este diseño significa que incluso si el código de la aplicación de la billetera es manipulado, el atacante también necesita conocer la contraseña del usuario para acceder a la clave privada. Este diseño de múltiples capas también permite que la aplicación de la billetera solo desencripte la clave intermedia después de que el usuario haya iniciado sesión, sin necesidad de volver a ingresar la contraseña principal en cada operación.

El proceso de escribir una herramienta de recuperación de Billetera generalmente incluye:

• Localizar y extraer datos de encriptación (leer datos de LevelDB/IndexedDB).
• Analizar la estructura de datos, identificar claves privadas/frases mnemotécnicas encriptadas.
• Se requiere que el usuario ingrese la contraseña de la Billetera, y se calcula la clave de descifrado a través de KDF (como PBKDF2 o Scrypt).
• Desencriptar la clave intermedia y luego desencriptar la clave privada/frase mnemotécnica.

Este proceso requiere un entendimiento preciso del esquema de encriptación de la Billetera y del formato de almacenamiento de datos, lo que generalmente se obtiene a través de ingeniería inversa o analizando el código fuente de la Billetera.

Es importante tener en cuenta que otros navegadores que soportan billeteras de extensión (como Edge, Firefox) funcionan bajo principios similares.

¿Cómo prevenir?

Para reducir el riesgo de falsas alarmas, los usuarios pueden tomar las siguientes medidas:

• Realiza copias de seguridad periódicas de archivos importantes y datos de extensiones de navegador, para que puedas restaurarlos rápidamente en caso de un falso positivo.
• Agregar manualmente reglas de confianza en el software antivirus. Para software o extensiones importantes, se puede agregar manualmente a la lista de confianza para evitar falsos positivos.
• Utilice canales oficiales para descargar el software, evitando instalar aplicaciones no oficiales o modificadas, para reducir la posibilidad de que el software antivirus lo marque como un riesgo potencial.

Resumen

La lucha contra las amenazas siempre está en constante cambio, y las políticas de seguridad también necesitan ser ajustadas continuamente. Instalar software antivirus es importante, pero al final, el usuario es la última línea de defensa de sus propios activos. Al enfrentarse a falsos positivos, el usuario debe manejar la situación con calma, evitando eliminar archivos clave directamente, y utilizando medios de recuperación apropiados. Solo al dominar el conocimiento correcto de seguridad se puede garantizar realmente la seguridad de los datos.