加密貨幣錢包提供商 MetaMask 今日宣布,由於安全原因,正棄用兩種生成私鑰的 API 方法,並將重新推出一個更安全的方式來生成私鑰。 MetaMask 表示,不會刪除這兩種 API 方法,將可繼續使用、但不建議再用,第三方有時間根據 MetaMask 建議來自行調整。
(前情提要:MetaMask、Phantom等瀏覽器錢包曝「助記詞安全漏洞」(4家已修復))
加密貨幣錢包提供商 MetaMask 今日發布公告,宣布已棄用 eth_decrypt 和 eth_getEncryption PublicKey 這兩種 API 中可用的方法,所謂「棄用」是指,這些方法仍將在 API 中可用,並會繼續按照當前方式運行, 但 MetaMask 不再建議使用它們。
MetaMask 解釋, eth_decrypt 和 eth_getEncryption PublicKey 這兩種方法之所以被棄用,是因為不再像原來那樣安全,目前雖然還沒有基於這些方法的已知漏洞或漏洞攻擊案例,但 MetaMask 不再願意推廣它們的使用。
MetaMask 表示,將重新推出一個以更安全方式生成私鑰的版本,但 MetaMask 決定首先發布上述棄用警告,因為 MetaMask 不能完全確認上述兩種方法的安全性。
MetaMask 指出,MetaMask 知曉有第三方目前依賴上述方法,以使他們的產品得以運作,因此,目前沒有計劃刪除這兩種 API 方法,這將使目前依賴這些方法的第三方有時間根據 MetaMask 建議來自行調整。
MetaMask 提及,Eth _ deccrypt 和 eth _ getEncryptionPublicKey 方法是根據 EIP-1098 所構建,但 EIP-1098 後來被棄用,而 MetaMask 仍努力、並有興趣提供加密工具,因此,如果有替代的加密 EIP 提案,MetaMask 可能會支持並採用新方法。
安全漏洞問題
據動區此前報導,MetaMask 近期多次傳出安全漏洞問題,MetaMask 在 16 日剛宣布修補一個安全漏洞,該漏洞源於 Javascript 中某個問題,可能導致助記詞在內存中儲存一段時間,使攻擊者有機從未加密硬碟上獲取助記詞,從而控制受害用戶加密貨幣資產和 NFT。
慢霧資安本月則撰文提醒,如果用戶使用過 MetaMask Version < 10.11.3,且在導入助記詞的時候點擊了Show Secret Recovery Phrase,那麼用戶的助記詞有可能洩露,可以參考 MetaMask 的文章,對磁碟進行加密並更換錢包、遷移數位資產。
相關報導
慢霧資安 | 你的註記詞可能洩露了!MetaMask瀏覽器擴展錢包demonic漏洞分析
CertiK爆 : 微軟 Office 有零時差漏洞!可駭入 Metamask、建議改用冷錢包
Metamask開發公司ConsenSys:給 Solidity 開發者的 16 個安全建議
第一時間獲取第一手區塊鏈、加密貨幣新聞
