Поділитися цією статтею
MetaMask, Phantom та інші веб-гаманці виправляють уразливість безпеки
Немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, а це означає, що кошти користувачів не постраждали.
Автор Sam Kessler
MetaMask і Phantom, два з найбільших постачальників Крипто гаманців, оголосили в своїх публікаціях у блозі в середу, що вони нещодавно виправили вразливість безпеки, яка могла відкрити конфіденційні облікові дані користувачам зі зламаними пристроями.
Постачальники гаманців кажуть, що немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, тобто не відомо, що кошти користувачів постраждали.
MetaMask і Phantom – які виявили помилку на основі підказки фірми безпеки блокчейну Халборн – повідомили принаймні 10 інших HOT гаманців на основі браузера, що вони містять ту саму вразливість. Наразі повний список гаманців, які підпали під вплив і були виправлені, невідомий.
Хоча вразливість має вузький напрямок атаки, і немає жодних доказів того, що її коли-небудь використовували хакери, вона підкреслює невід’ємний ризик безпеки HOT гаманців, підключених до Інтернету, порівняно з більш безпечними – хоча й менш зручними – апаратними гаманцями.
Чи варто хвилюватися?
MetaMask і Phantom не рекомендують більшості користувачів вживати будь-яких інших дій, окрім оновлення своїх браузерів, щоб переконатися, що на гаманцях, які вони використовують, працюють найновіші версії програмного забезпечення.
Відповідно до публікації в блозі від МетаМаска ви повинні хвилюватися, лише якщо ви відповідаєте всім наведеним нижче умовам:
- Ваш жорсткий диск не було зашифровано
- Ви імпортували свою Secret фразу відновлення в розширення MetaMask на пристрої, яким володіє хтось, кому ви не довіряєте, або ваш комп’ютер зламано
- Ви встановили прапорець «Показати Secret фразу відновлення», щоб переглянути Secret фразу відновлення на екрані під час процесу імпорту
«Якщо ваш комп’ютер фізично не захищений від людей, яким ви не довіряєте, ми рекомендуємо вам увімкнути повне шифрування диска у вашій системі», — йдеться в дописі в блозі MetaMask. «Крім того, це не стосується вас, якщо вашими коштами керує апаратний гаманець».
Публікація Phantom багато в чому повторює публікацію MetaMask.
У своєму блозі MetaMask описує кроки, які користувачі повинні зробити, щоб перейти на новий гаманець, якщо вони вважають, що їхні облікові дані могли бути скомпрометовані.
Халборн, який отримав винагороду в розмірі 50 000 доларів США за розкриття помилки, рекомендував більшості користувачів перейти на нову адресу гаманця з великої обережності.
Стів Уолбруль, співзасновник Halborn, сказав CoinDesk: "Просто враховуючи той факт, що це те, що існує так довго, ви T знаєте, хто міг стати [експлуатацією]. Можливо, ви натиснули на поганий фішинговий електронний лист, і вони отримали доступ до вашого комп’ютера. Можливо, хтось узяв його раніше, навіть якщо ви зараз оновили. Я думаю, що просто через велику обережність, враховуючи критичність, краще просто змінити це».
Він продовжив: «Моя рекомендація номер ONE — придбати апаратний гаманець».
Як це сталося
Уразливість виникла внаслідок хитрості в мові програмування javascript, яка іноді призводила до того, що Secret фраза користувача для відновлення зберігалася в локальній пам’яті користувача протягом певного періоду часу (точний термін невідомий і, ймовірно, залежить від пристрою).
Якби користувач ввів цю фразу на скомпрометованому або іншим чином ненадійному пристрої, зловмисник мав би можливість видалити її з пам’яті, якби він або вона точно знав, де шукати (або, що ймовірніше, мав спеціальний інструмент для виконання цього завдання).
Secret фраза відновлення — також називається вихідною фразою або мнемонічної фразою — це серія з 12 слів, які користувачі отримують, коли налаштовують розумний гаманець, і вона служить головним ключем, якщо користувачам коли-небудь знадобиться відновити свій гаманець або налаштувати його на новому пристрої.
Якщо Secret фраза про відновлення особи потрапляє до рук зловмисника, вона може бути використана для захоплення повного контролю над коштами особи.
MetaMask повідомили про помилку в липні 2021 року та випустили патч у березні цього року. Phantom дізнався про помилку у вересні 2021 року та випустив кілька патчів для вирішення проблеми в період з січня по квітень 2022 року.
More For You
Most crypto privacy models weaken as blockchain data grows. Encryption-based models like Zcash strengthen. CoinDesk Research maps the five privacy approaches and examines the widening gap.
Why it matters:
As blockchain adoption scales, the metadata available to machine learning models scales with it. Obfuscation-based privacy approaches are structurally degrading as a result. This report provides a comprehensive comparison of all five major crypto privacy architectures and a framework for evaluating which models remain durable as AI capabilities improve.
More For You
Поки розробники Bitcoin шукають рішення, а Ethereum готується до «Дня Q», Solana намагається випередити цей сценарій.
What to know:
- Фонд Solana співпрацює з Project Eleven у тестуванні квантово-стійкої криптографії на тлі зростаючої тривоги, що майбутні квантові комп'ютери можуть зламати поточну безпеку блокчейну.
- Початкові випробування показують суттєві компроміси: квантово-безпечні підписи в 40 разів більші за розміром і уповільнили роботу мережі приблизно на 90%, що викликає питання щодо масштабованості.
Головне
