Поділитися цією статтею
MetaMask, Phantom та інші веб-гаманці виправляють уразливість безпеки
Немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, а це означає, що кошти користувачів не постраждали.
Автор Sam Kessler
Зробіть нас пріоритетним джерелом у Google
MetaMask і Phantom, два з найбільших постачальників Крипто гаманців, оголосили в своїх публікаціях у блозі в середу, що вони нещодавно виправили вразливість безпеки, яка могла відкрити конфіденційні облікові дані користувачам зі зламаними пристроями.
Постачальники гаманців кажуть, що немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, тобто не відомо, що кошти користувачів постраждали.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
MetaMask і Phantom – які виявили помилку на основі підказки фірми безпеки блокчейну Халборн – повідомили принаймні 10 інших HOT гаманців на основі браузера, що вони містять ту саму вразливість. Наразі повний список гаманців, які підпали під вплив і були виправлені, невідомий.
Хоча вразливість має вузький напрямок атаки, і немає жодних доказів того, що її коли-небудь використовували хакери, вона підкреслює невід’ємний ризик безпеки HOT гаманців, підключених до Інтернету, порівняно з більш безпечними – хоча й менш зручними – апаратними гаманцями.
Чи варто хвилюватися?
MetaMask і Phantom не рекомендують більшості користувачів вживати будь-яких інших дій, окрім оновлення своїх браузерів, щоб переконатися, що на гаманцях, які вони використовують, працюють найновіші версії програмного забезпечення.
Відповідно до публікації в блозі від МетаМаска ви повинні хвилюватися, лише якщо ви відповідаєте всім наведеним нижче умовам:
- Ваш жорсткий диск не було зашифровано
- Ви імпортували свою Secret фразу відновлення в розширення MetaMask на пристрої, яким володіє хтось, кому ви не довіряєте, або ваш комп’ютер зламано
- Ви встановили прапорець «Показати Secret фразу відновлення», щоб переглянути Secret фразу відновлення на екрані під час процесу імпорту
«Якщо ваш комп’ютер фізично не захищений від людей, яким ви не довіряєте, ми рекомендуємо вам увімкнути повне шифрування диска у вашій системі», — йдеться в дописі в блозі MetaMask. «Крім того, це не стосується вас, якщо вашими коштами керує апаратний гаманець».
Публікація Phantom багато в чому повторює публікацію MetaMask.
У своєму блозі MetaMask описує кроки, які користувачі повинні зробити, щоб перейти на новий гаманець, якщо вони вважають, що їхні облікові дані могли бути скомпрометовані.
Халборн, який отримав винагороду в розмірі 50 000 доларів США за розкриття помилки, рекомендував більшості користувачів перейти на нову адресу гаманця з великої обережності.
Стів Уолбруль, співзасновник Halborn, сказав CoinDesk: "Просто враховуючи той факт, що це те, що існує так довго, ви T знаєте, хто міг стати [експлуатацією]. Можливо, ви натиснули на поганий фішинговий електронний лист, і вони отримали доступ до вашого комп’ютера. Можливо, хтось узяв його раніше, навіть якщо ви зараз оновили. Я думаю, що просто через велику обережність, враховуючи критичність, краще просто змінити це».
Він продовжив: «Моя рекомендація номер ONE — придбати апаратний гаманець».
Як це сталося
Уразливість виникла внаслідок хитрості в мові програмування javascript, яка іноді призводила до того, що Secret фраза користувача для відновлення зберігалася в локальній пам’яті користувача протягом певного періоду часу (точний термін невідомий і, ймовірно, залежить від пристрою).
Якби користувач ввів цю фразу на скомпрометованому або іншим чином ненадійному пристрої, зловмисник мав би можливість видалити її з пам’яті, якби він або вона точно знав, де шукати (або, що ймовірніше, мав спеціальний інструмент для виконання цього завдання).
Secret фраза відновлення — також називається вихідною фразою або мнемонічної фразою — це серія з 12 слів, які користувачі отримують, коли налаштовують розумний гаманець, і вона служить головним ключем, якщо користувачам коли-небудь знадобиться відновити свій гаманець або налаштувати його на новому пристрої.
Якщо Secret фраза про відновлення особи потрапляє до рук зловмисника, вона може бути використана для захоплення повного контролю над коштами особи.
MetaMask повідомили про помилку в липні 2021 року та випустили патч у березні цього року. Phantom дізнався про помилку у вересні 2021 року та випустив кілька патчів для вирішення проблеми в період з січня по квітень 2022 року.
Більше для вас
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
Що варто знати:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
Квантова загроза для Bitcoin є «реальною, але далекою», – заявляє аналітик з Волл-стріт на тлі триваючих дебатів про апокаліпсис
Брокер із Уолл-Стріт Benchmark заявив, що криптовалютна мережа має достатньо часу для розвитку, оскільки квантові ризики переходять із теоретичної площини до управління ризиками.
What to know:
- Брокер Benchmark заявив, що головна вразливість Біткоїна полягає у відкритих публічних ключах, а не в самому протоколі.
- Новий Квантовий Консультативний Рада Coinbase позначає перехід від теоретичних занепокоєнь до інституційної реакції.
- Архітектура Bitcoin є консервативною, але адаптивною, за словами аналітика Benchmark Марка Палмера, з тривалим періодом для оновлень.
Головне
