Edgen Crypto·Sep 22 2025, 07:37慢霧首席資訊安全官23pds發現WebAuthn密鑰登錄系統存在一個嚴重漏洞,攻擊者無需物理設備訪問,即可透過惡意瀏覽器擴充功能或跨站腳本(XSS)劫持認證API並竊取憑證。這一發現對使用廣泛採用的網路認證標準的平台提出了重大的安全擔憂。
慢霧首席資訊安全官23pds發現WebAuthn密鑰登錄系統存在一個重大安全漏洞。該漏洞使攻擊者能夠透過惡意瀏覽器擴充功能或跨站腳本(XSS)漏洞劫持WebAuthn API。攻擊可以透過強制降級為基於密碼的登錄或篡改密鑰註冊過程來竊取用戶憑證。至關重要的是,此方法無需物理設備訪問或生物識別身份驗證,對使用WebAuthn的平台構成了巨大風險,並突顯了Web3生態系統內的系統性安全挑戰。
慢霧的首席資訊安全官23pds披露了一種新穎的WebAuthn密鑰登錄繞過攻擊。該方法透過利用惡意瀏覽器擴充功能或受感染網站上的XSS漏洞來利用WebAuthn API。攻擊機制包括強制降級到安全性較低的基於密碼的登錄,或操縱密鑰註冊過程以秘密獲取用戶憑證。此漏洞的一個關鍵特徵是它能夠在無需物理訪問受害者設備或與Face ID或Touch ID等生物識別認證器交互的情況下運行。
在DEF CON上演示的 “Passkeys Pwned”攻擊進一步澄清,這是一個WebAuthn內部的實現缺陷,而非標準本身的加密弱點或對FIDO聯盟的批評。攻擊者可以代理WebAuthn API調用來偽造通行密鑰註冊和認證響應。這表明常見的網路威脅,包括CDN攻擊、XSS和惡意瀏覽器擴充功能,即使不直接損害用戶的端點、操作系統或瀏覽器,也可以促進透過通行密鑰進行未經授權的訪問。
WebAuthn漏洞的發現預示著數位領域,特別是Web3生態系統內,對增強安全警惕的迫切需求。如果被廣泛利用,這種 “憑證降級攻擊”可能導致大量的憑證竊盜和重大的資產損失,估計可能影響價值數億美元的數位資產。這種情況反映了之前的供應鏈風險,例如Ledger Connect Kit CDN漏洞,並強調了Web3中訪問控制失敗的持續普遍性,該漏洞在2025年上半年造成了16億美元的損失——幾乎佔所有被盜資金的70%。
廣泛的身份冒充和帳戶洩露可能性可能嚴重削弱用戶對當前被視為安全的認證方法的信心。受影響的企業和開發者面臨著緊急任務,需要審查其WebAuthn實施並部署緩解措施,以保護用戶資產並維護信任。
慢霧的23pds首先提請人們注意這個關鍵的WebAuthn漏洞,強調其在無需物理設備訪問的情況下竊取憑證的潛力。隨後,SquareX Labs透過他們在DEF CON上的“Passkeys Pwned”演示,闡述了攻擊的性質,將其識別為利用CDN攻擊、XSS和瀏覽器擴充功能等常見網路威脅的實現缺陷。
另外,ChainGuard發布了一份關於影響Web3認證協議的更廣泛的 “憑證降級攻擊”的警報,該攻擊與WebAuthn漏洞的機制一致,透過強制執行安全性較低的僅密碼訪問來促進私鑰竊盜。為應對這些威脅,安全專家建議立即採取行動,包括透過嚴格檢查和阻止惡意腳本來強化瀏覽器,阻止非白名單網站或擴充功能訪問WebAuthn API,以及為所有使用通行密鑰的身份提供者實施多因素身份驗證(MFA)。
WebAuthn是由W3C和FIDO聯盟共同開發的標準,代表著透過使用公鑰密碼學實現無密碼和防網路釣魚認證的重大進步。儘管其設計穩健,但目前對集中式依賴方的依賴對Web3的去中心化原則提出了哲學和實踐上的挑戰。
此事件凸顯了Web3領域內訪問控制失敗這一持續存在的問題,這仍然是漏洞利用的主要載體。此外,Web3安全更廣泛的格局也正在應對 “盲消息攻擊”等漏洞,即用戶被誘騙在不知情的情況下簽署惡意交易;此類攻擊已被發現危及75.8%的已測試Web3認證部署。持續的威脅需要強大的安全框架、一致的權限檢查以及對新興攻擊向量的持續適應,這可能加速完全去中心化和點對點認證解決方案的開發和採用,以增強Web3生態系統的彈性。