执行摘要

慢雾首席信息安全官23pds发现WebAuthn密钥登录系统存在一个重大安全漏洞。该漏洞使攻击者能够通过恶意浏览器扩展或跨站脚本(XSS)漏洞劫持WebAuthn API。攻击可以通过强制降级为基于密码的登录或篡改密钥注册过程来窃取用户凭证。至关重要的是,此方法无需物理设备访问或生物识别身份验证,对使用WebAuthn的平台构成了巨大风险,并突显了Web3生态系统内的系统性安全挑战。

事件详情

慢雾的首席信息安全官23pds披露了一种新颖的WebAuthn密钥登录绕过攻击。该方法通过利用恶意浏览器扩展或受感染网站上的XSS漏洞来利用WebAuthn API。攻击机制包括强制降级到安全性较低的基于密码的登录,或操纵密钥注册过程以秘密获取用户凭证。此漏洞的一个关键特征是它能够在无需物理访问受害者设备或与Face ID或Touch ID等生物识别认证器交互的情况下运行。

在DEF CON上演示的**“Passkeys Pwned”攻击进一步澄清,这是一个WebAuthn内部的实现缺陷**,而非标准本身的加密弱点或对FIDO联盟的批评。攻击者可以代理WebAuthn API调用来伪造通行密钥注册和认证响应。这表明常见的网络威胁,包括CDN攻击XSS和恶意浏览器扩展,即使不直接损害用户的端点、操作系统或浏览器,也可以促进通过通行密钥进行未经授权的访问。

市场影响

WebAuthn漏洞的发现预示着数字领域,特别是Web3生态系统内,对增强安全警惕的迫切需求。如果被广泛利用,这种**“凭证降级攻击”可能导致大量的凭证盗窃和重大的资产损失**,估计可能影响价值数亿美元的数字资产。这种情况反映了之前的供应链风险,例如Ledger Connect Kit CDN漏洞,并强调了Web3访问控制失败的持续普遍性,该漏洞在2025年上半年造成了16亿美元的损失——几乎占所有被盗资金的70%。

广泛的身份冒充和账户泄露可能性可能严重削弱用户对当前被视为安全的认证方法的信心。受影响的企业和开发者面临着紧急任务,需要审查其WebAuthn实施并部署缓解措施,以保护用户资产并维护信任。

专家评论

慢雾的23pds首先提请人们注意这个关键的WebAuthn漏洞,强调其在无需物理设备访问的情况下窃取凭证的潜力。随后,SquareX Labs通过他们在DEF CON上的“Passkeys Pwned”演示,阐述了攻击的性质,将其识别为利用CDN攻击、XSS和浏览器扩展等常见网络威胁的实现缺陷

另外,ChainGuard发布了一份关于影响Web3认证协议的更广泛的**“凭证降级攻击”的警报,该攻击与WebAuthn漏洞的机制一致,通过强制执行安全性较低的仅密码访问来促进私钥盗窃。为应对这些威胁,安全专家建议立即采取行动,包括通过严格检查和阻止恶意脚本来强化浏览器,阻止非白名单网站或扩展访问WebAuthn API**,以及为所有使用通行密钥的身份提供商实施多因素身份验证(MFA)

更广泛的背景

WebAuthn是由W3CFIDO联盟共同开发的标准,代表着通过使用公钥密码学实现无密码和防网络钓鱼认证的重大进步。尽管其设计稳健,但目前对集中式依赖方的依赖对Web3的去中心化原则提出了哲学和实践上的挑战。

此事件凸显了Web3领域内访问控制失败这一持续存在的问题,这仍然是漏洞利用的主要载体。此外,Web3安全更广泛的格局也正在应对**“盲消息攻击”等漏洞,即用户被诱骗在不知情的情况下签署恶意交易;此类攻击已被发现危及75.8%的已测试Web3认证部署。持续的威胁需要强大的安全框架、一致的权限检查以及对新兴攻击向量的持续适应,这可能加速完全去中心化和点对点认证解决方案的开发和采用,以增强Web3**生态系统的弹性。