Como evitar o risco de perda de ativos se a Carteira de encriptação do navegador for danificada?

No atual ambiente da Internet, diversas ameaças de segurança surgem constantemente. Instalar software antivírus pode ajudar os usuários a se protegerem contra programas maliciosos, aumentando a segurança do sistema. No entanto, o software antivírus só pode reduzir os riscos, não garantindo segurança absoluta. A luta é um processo dinâmico, e a instalação de software antivírus é apenas o primeiro passo para aumentar a segurança. Ao mesmo tempo, o próprio software antivírus também pode apresentar falsos positivos, trazendo riscos adicionais.

Recentemente, alguns utilizadores relataram que, após utilizarem software antivírus, algumas extensões de navegador (especialmente as extensões de Carteira de encriptação) foram falsamente identificadas como malware, resultando na isolação ou remoção dos arquivos JavaScript da extensão, o que acabou por danificar a extensão da carteira, tornando-a inutilizável.

Para os utilizadores de Web3, esta situação é especialmente grave, uma vez que as extensões de Carteira de encriptação normalmente armazenam chaves privadas, e se não forem tratadas adequadamente, isso pode resultar na perda de dados da Carteira, podendo até levar à impossibilidade de recuperar ativos. Portanto, é crucial entender como restaurar corretamente os dados da extensão que foram isolados por erro.

Como lidar?

Se você descobrir que um falso positivo do antivírus causou danos à extensão do navegador, recomenda-se seguir os passos abaixo para a recuperação:

1. Recuperar arquivos da zona isolada, não desinstale a extensão

Se descobrir que algum software ou extensão não consegue funcionar, verifique imediatamente a "Zona de Quarentena" ( Quarantine ) ou "Histórico" ( History ) do seu software antivírus, procurando arquivos que tenham sido erroneamente sinalizados, não delete os arquivos em quarentena.

• Se o arquivo ainda estiver na quarentena, selecione "Restaurar"(Restore) e adicione o arquivo ou extensão à lista de confiança para evitar falsos positivos novamente.
• Se o arquivo foi eliminado, verifique se há cópias de segurança automáticas ou use ferramentas de recuperação de dados para recuperá-lo.
• Lembre-se: não desinstale a extensão! Mesmo que a extensão esteja danificada, ainda pode haver arquivos relacionados à encriptação da chave privada localmente, e ainda existe a possibilidade de recuperação.

2. Backup e localizar dados de extensão locais

Os dados de extensão geralmente são armazenados no disco local, mesmo que a extensão não possa ser aberta, ainda é possível encontrar dados relevantes para recuperação (ID da extensão usando uma conhecida Carteira como exemplo):

• Referência de caminho do Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Referência de caminho Mac:

~/Biblioteca/Suporte de Aplicação/Google/Chrome/Padrão/Configurações de Extensão Local/nkbihfbeogaeaoehlefnkodbefgpgknn

É importante notar que, se o Chrome estiver configurado com várias contas, o Default no caminho pode mudar para Profile 1/Profile 2, sendo necessário verificar o diretório de Profile específico e ajustar o caminho de acordo com a situação. Recomenda-se fazer um backup completo do diretório da extensão alvo o mais rápido possível, para que, em caso de problemas, seja possível restaurá-lo.

3. Método de recuperação brusca: sobrepor o diretório de extensão local

Se um falso positivo causar danos à extensão, a maneira mais direta é, em um novo computador ou novo ambiente de navegador, substituir diretamente os dados da extensão de backup no diretório da extensão correspondente ao caminho local e, em seguida, reabrir o programa da extensão.

4. Método de recuperação avançado: decifrar manualmente os dados da chave privada

Se a extensão ainda não abrir ou os dados estiverem ausentes, você pode tentar um método de recuperação mais avançado, ou seja, desencriptar manualmente os dados da chave privada para recuperar. Tomando como exemplo uma carteira conhecida:

• Pesquisar o ID da extensão localmente no computador e encontrar o diretório correspondente.
• Este diretório pode conter arquivos ldb/log, que armazenam dados de chaves privadas encriptados. Pode-se usar a ferramenta de descriptação Vault oficial para descripta-los. copiar o conteúdo encriptado do arquivo ldb/log

Se a extensão ainda puder abrir algumas páginas, você pode tentar executar um código específico para obter dados de chave privada emcriptação, e depois copiar os dados para a ferramenta de descriptação Vault para descriptografar.

5. Escrever ferramentas de recuperação personalizadas

Se os métodos acima não conseguirem recuperar os dados da Carteira, o usuário pode escrever um script para extrair os dados de armazenamento expandido do arquivo de banco de dados local e, em seguida, realizar a encriptação.

Carteira plugin geralmente armazena dados sensíveis em bancos de dados ou arquivos do sistema local. Carteiras de extensão de navegador aproveitam a API de armazenamento fornecida pelo navegador, armazenando dados encriptados na área de armazenamento local do navegador, normalmente em sistemas de banco de dados como LevelDB ou IndexedDB. Independentemente do tipo de carteira, um princípio fundamental é que os dados são sempre armazenados de forma encriptada, garantindo que mesmo que os dados sejam copiados, não possam ser acessados sem a senha correta.

A maioria das carteiras de encriptação utiliza uma arquitetura de múltiplas camadas de encriptação para aumentar a segurança. Primeiro, a senha principal do usuário é usada para encriptar uma chave intermediária (geralmente chamada de "chave de encriptação" ou "chave de decriptação"). Em seguida, essa chave intermediária é usada para encriptar a verdadeira chave privada ou a frase de recuperação. Este design garante que, mesmo que o código do aplicativo da carteira seja comprometido, um atacante ainda precisaria conhecer a senha do usuário para obter a chave privada. Este design em múltiplas camadas também permite que o aplicativo da carteira decripte apenas a chave intermediária após o login do usuário, sem precisar inserir a senha principal a cada operação.

O processo de elaboração de ferramentas de recuperação de Carteira geralmente inclui:

• Localizar e extrair dados de encriptação (ler dados do LevelDB/IndexedDB).
• Analisar a estrutura de dados, identificar a encriptação da chave privada/frase de recuperação.
• Solicitar ao usuário que insira a senha da Carteira e calcular a chave de decriptação através do KDF (como PBKDF2 ou Scrypt).
• Descriptografar a chave intermediária e, em seguida, descriptografar a chave privada/frase mnemônica.

Este processo requer um entendimento preciso do esquema de encriptação e do formato de armazenamento de dados da Carteira, o que geralmente necessita ser obtido através de engenharia reversa ou análise do código-fonte da Carteira.

É importante notar que outros navegadores que suportam Carteiras expandidas (como Edge, Firefox) funcionam de maneira semelhante.

Como prevenir?

Para reduzir o risco de falsos positivos, os usuários podem tomar as seguintes medidas:

• Fazer cópias de segurança regulares de arquivos importantes e dados de extensões do navegador, para que possam ser rapidamente restaurados em caso de falsos positivos.
• Adicionar manualmente regras de confiança no software antivírus; para software ou extensões importantes, pode-se adicionar manualmente à lista de confiança para evitar falsos positivos.
• Utilize canais oficiais para baixar software, evitando a instalação de aplicações não oficiais ou modificadas, para reduzir a probabilidade de serem sinalizadas como riscos potenciais por softwares antivírus.

Resumo

A resistência é sempre dinâmica e as políticas de segurança precisam ser constantemente ajustadas. Instalar software antivírus é, sem dúvida, importante, mas, no final, o usuário é a última linha de defesa de seus ativos. Quando se depara com falsos positivos, o usuário deve lidar com a situação com calma, evitando excluir diretamente arquivos críticos e utilizando métodos de recuperação adequados. Somente dominando o conhecimento de segurança correto, é que se pode realmente garantir a segurança dos próprios dados.