流行加密貨幣錢包提供商 MetaMask 和 Phantom 今日表示,近日已修補了一個安全漏洞,該漏洞可能導致某些情況下,攻擊者從被駭電腦的磁碟上獲取助記詞,使許多基於瀏覽器擴充的錢包暴露在被駭風險之中。
(前情提要:iCloud 存到註記詞文件!MetaMask 建議禁用蘋果雲端備份,一用戶遭釣魚損失 65 萬美元)
熱門加密貨幣熱錢包提供商 MetaMask 和 Phantom(Solana 生態)16 日披露,他們最近已修補了一個安全漏洞。該漏洞源於 Javascript 中某個問題,可能導致助記詞在內存中儲存一段時間,使攻擊者有機從未加密的硬碟上獲取助記詞,從而控制受害用戶加密資產和 NFT。
該漏洞由區塊鏈安全公司 Halborn 在去年 5 月發現,據《Coindesk》說法, Halborn 除了 MetaMask 和 Phantom,已通知至少 10 個其他基於瀏覽器擴充的錢包提供商。
延伸閱讀:iCloud 存到註記詞文件!MetaMask 建議禁用蘋果雲端備份,一用戶遭釣魚損失 65 萬美元
部分錢包已修復漏洞
Halborn 確認目前已修復此漏洞的錢包包括 MetaMask、Phantom、Brave 和 xDefi。
⚠Halborn Receives Major Security Bounty from @MetaMask for Critical Discovery⚠
We disclosed a critical vulnerability affecting @MetaMask, @Brave, @Phantom, @xdefi_wallet, and other browser based crypto wallets – A short 🧵 on the vulnerability and how to protect 🔐 yourselves:— Halborn (@HalbornSecurity) June 15, 2022
Phantom 今日公告,他們在 2021 年 9 月了解到該漏洞,在今年 4 月全面修補了該漏洞。同時補充,將在下週推出另一個重要的安全修補程式。
MetaMask 則表示,使用行動裝置應用程式的用戶不受影響,但包括 MetaMask 在內的許多瀏覽器錢包中的一小部分用戶會面臨安全風險,團隊已在三月發布的 MetaMask 擴充版本 10.11.3 中修復該漏洞,因此對於使用此版本及更新版本的用戶來說,這些應該不構成問題。
團隊進一步解釋,如果符合以下三個條件,才會有被攻擊的可能性:
- 硬碟未加密
- 將註記詞導入已被駭的電腦或是有你不信任的人。
- 在導入時使用了「顯示助記詞」功能
A vast majority of users are *not* at high risk of being compromised due to this, and we have since implemented mitigations for these issues, so these should not be problems for users who are on the MetaMask Extension versions 10.11.3 and later.
2/
— MetaMask 🦊🫰 (@MetaMask) June 15, 2022
建議將資產轉移到新錢包地址
MetaMask 建議,如果用戶符合上述所有條件,那麼用戶需要考慮從這些錢包帳戶中轉移資金以確保安全。同時提供遷移帳戶資金的指南,並表示使用任何第三方遷移工具必須由您自擔風險。
團隊後續進一步建議如用戶擔心資產受影響,可考量在系統上啟用磁碟加密,並使用硬體錢包管理資產。
而因通報該漏洞而從 MetaMask 獲得了 50,000 美元賞金的 Halborn ,其共同創辦人 Steve Walbroehl 向《Coindesk》表示,仍建議大多數用戶轉移到新的錢包地址。
考慮到這件事已經存在了很長時間,你不知道哪時可能會被[利用]。也許你點擊了一封錯誤的網路釣魚郵件,使攻擊者可以訪問你的電腦。即使你現在已經升級,也可能有人以前使用過它。
我只是出於謹慎考慮,鑑於其重要性,最好是改變它[錢包地址]。我的首要建議是買一個硬體錢包。
📍相關報導📍
Metamask 錢包遭爆存在 IP 漏洞!恐衍生實體綁架、超級 DDoS 攻擊
Metamask開發公司ConsenSys:給 Solidity 開發者的 16 個安全建議
神魚警告 : 盡快更新Chrome瀏覽器!避免Metamask (小狐狸錢包) 遭漏洞攻擊
Ledger 冷錢包爆漏洞!無法識別比特幣及分叉鏈,恐致用戶在不知情下轉出 BTC
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務