MetaMask、Phantom 和其他瀏覽器錢包在周三發布的一篇博客文章中披露,它們修補了一個關鍵的安全漏洞。該漏洞可能會在已被入侵的設備上暴露敏感的用戶登錄憑據。
但是,錢包提供商表示,沒有證據表明該漏洞曾被利用,並且已知沒有用戶資金受到它的影響。
漏洞背景
該漏洞是在區塊鏈安全公司Halborn 向MetaMask 和Phantom 舉報後發現的。 Halborn 發現基於網絡的錢包(MetaMask、Phantom)使用的秘密恢復短語可以在特定條件下從受感染的機器中提取。 Halborn 表示,該漏洞並未影響MetaMask 移動用戶,僅影響一小部分MetaMask 擴展用戶,以及其他瀏覽器擴展和錢包的用戶。
那麼誰有風險?
MetaMask 和Phantom 都不建議用戶採取任何激烈的行動。推薦給用戶的唯一操作是更新他們的瀏覽器,以確保他們的錢包/擴展程序運行他們最新和更新的軟件版本。 MetaMask 在其博客文章中表示,用戶只有在符合以下條件時才應受到關注。
你機器的硬分叉驅動器未加密貨幣。如果你作為用戶將你的Secret Recovery Phrase 導入到另一台設備上的MetaMask 設備擴展程序中,而該設備當前不屬於你或你不信任的任何個人擁有,或者你認為你的計算機已被盜用。如果你在導入過程中使用了“顯示秘密恢復短語”複選框並在屏幕上查看了你的秘密恢復短語。
MetaMask 在其博客文章中指出,
“如果你的計算機在物理上不受你不信任的人的影響,我們建議你在系統上啟用全盤加密貨幣。 此外,如果你的資金由硬件錢包管理,你將不會受到此影響。”
Phantom 的博文與MetaMask 的博文大體相同。
該帖子還表示,該漏洞影響
所有桌面操作系統和瀏覽器擴展。所有瀏覽器版本上的所有MetaMask 版本早於v10.11.3。
漏洞是如何產生的
該漏洞的發生是由於Javascript 編程語言中的一個怪癖,這有時會導致用戶的秘密恢復短語在本地存儲特定的時間量(多長時間因設備而異)。如果該短語是在不安全或不受信任的設備上輸入的,則攻擊者可能會在知道去哪裡查找的情況下將其從機器的內存中刷出,從而使他們能夠控制一個人的資金。
MetaMask 於2022 年3 月發布了修復該漏洞的補丁,而Phantom 在2021 年9 月被告知該漏洞,並在1 月至4 月期間發布了多個補丁來修復該問題。
MetaMask 以前的問題
MetaMask 過去也面臨過幾個問題。早在4 月,MetaMask 就警告其用戶可能會通過其iCloud 帳戶進行網絡釣魚攻擊。如果用戶在應用程序上啟用了iCloud 備份選項,他們很容易受到潛在的黑客攻擊。就在該警告發布前一個月,該平台因混淆導致委內瑞拉用戶無法訪問服務而受到加密貨幣Twitter 的抨擊。這發生在MetaMask 和Infura 試圖遵守美利堅合眾國宣布的製裁措施時。
免責聲明:本文僅供參考。它不是提供或打算用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載
