流行的數字資產錢包MetaMask 消除了可能導致加密貨幣丟失的漏洞。
事實上,發現該漏洞的是聯合全球白帽安全團隊(UGWST)。該組織從MetaMask 獲得了120,000 美元作為對這一壯舉的獎勵。
據該公司稱,分析師René Kroka 和José Almeida 發現了錢包的嚴重安全漏洞。
但是,該公司強調,惡意行為者實際上並未利用該漏洞。此外,MetaMask 的團隊表示,它已經為用戶解決了這個問題。
“該漏洞僅影響瀏覽器擴展,包括將MetaMask 擴展作為隱藏層運行在另一個網站之上的能力。 這使得攻擊者可以誘騙用戶洩露他們的私人數據或在沒有意識到的情況下發送加密貨幣,”MetaMask 強調說。
MetaMask 中的嚴重故障
正如該公司強調的那樣,用戶可以通過兩種方式查看MetaMask 瀏覽器擴展。
第一種是通過單擊其圖標時出現在瀏覽器欄中的小矩形窗口。同時,第二種形式由整頁視圖組成。
也就是說,擴展不能也不應該在iframe 中看到。 iframe 是一種HTML 資源,允許用戶在不同的網頁上查看網站的內容。
該團隊解釋說,iframe 本身沒有惡意,不會構成安全威脅。但是惡意行為者可以使用它來欺騙用戶。這種技術被稱為點擊劫持。
了解點擊劫持技術
實際上,該技術隱藏了錢包擴展在網絡上打開的事實。例如,用戶可以像從瀏覽器中的視頻遊戲一樣訪問網頁。所以,他需要點擊各種按鈕來配置遊戲並開始玩。
“所以他點擊了這些提示,卻沒有意識到遊戲已經在iframe 中對他施加了MetaMask 擴展。 因此,他不是點擊視頻遊戲中的提示,而是點擊MetaMask 中的提示,將他的數字資產發送給惡意行為者,”該團隊澄清道。
最後,團隊要求用戶確保他們的MetaMask 擴展至少是10.14.6 版本。
另請閱讀:Itaú 將協調在巴西發行第一批代幣化債券
另請閱讀:B3 獲得CVM 授權推出數字資產公司
另請閱讀:真實數字將有提款限制和“斷路器”以避免銀行擠兌; 理解
資訊來源:由0x資訊編譯自CRIPTOFACIL。版權歸作者Lorena Amaro所有,未經許可,不得轉載
