Share this article
MetaMask, Phantom та інші веб-гаманці виправляють уразливість безпеки
Немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, а це означає, що кошти користувачів не постраждали.
By Sam Kessler
Updated May 11, 2023, 6:14 p.m. Published Jun 15, 2022, 4:00 p.m.
MetaMask і Phantom, два з найбільших постачальників Крипто гаманців, оголосили в своїх публікаціях у блозі в середу, що вони нещодавно виправили вразливість безпеки, яка могла відкрити конфіденційні облікові дані користувачам зі зламаними пристроями.
Постачальники гаманців кажуть, що немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, тобто не відомо, що кошти користувачів постраждали.
Продовження Нижче
MetaMask і Phantom – які виявили помилку на основі підказки фірми безпеки блокчейну Халборн – повідомили принаймні 10 інших HOT гаманців на основі браузера, що вони містять ту саму вразливість. Наразі повний список гаманців, які підпали під вплив і були виправлені, невідомий.
Хоча вразливість має вузький напрямок атаки, і немає жодних доказів того, що її коли-небудь використовували хакери, вона підкреслює невід’ємний ризик безпеки HOT гаманців, підключених до Інтернету, порівняно з більш безпечними – хоча й менш зручними – апаратними гаманцями.
Чи варто хвилюватися?
MetaMask і Phantom не рекомендують більшості користувачів вживати будь-яких інших дій, окрім оновлення своїх браузерів, щоб переконатися, що на гаманцях, які вони використовують, працюють найновіші версії програмного забезпечення.
Відповідно до публікації в блозі від МетаМаска ви повинні хвилюватися, лише якщо ви відповідаєте всім наведеним нижче умовам:
- Ваш жорсткий диск не було зашифровано
- Ви імпортували свою Secret фразу відновлення в розширення MetaMask на пристрої, яким володіє хтось, кому ви не довіряєте, або ваш комп’ютер зламано
- Ви встановили прапорець «Показати Secret фразу відновлення», щоб переглянути Secret фразу відновлення на екрані під час процесу імпорту
«Якщо ваш комп’ютер фізично не захищений від людей, яким ви не довіряєте, ми рекомендуємо вам увімкнути повне шифрування диска у вашій системі», — йдеться в дописі в блозі MetaMask. «Крім того, це не стосується вас, якщо вашими коштами керує апаратний гаманець».
Публікація Phantom багато в чому повторює публікацію MetaMask.
У своєму блозі MetaMask описує кроки, які користувачі повинні зробити, щоб перейти на новий гаманець, якщо вони вважають, що їхні облікові дані могли бути скомпрометовані.
Халборн, який отримав винагороду в розмірі 50 000 доларів США за розкриття помилки, рекомендував більшості користувачів перейти на нову адресу гаманця з великої обережності.
Стів Уолбруль, співзасновник Halborn, сказав CoinDesk: "Просто враховуючи той факт, що це те, що існує так довго, ви T знаєте, хто міг стати [експлуатацією]. Можливо, ви натиснули на поганий фішинговий електронний лист, і вони отримали доступ до вашого комп’ютера. Можливо, хтось узяв його раніше, навіть якщо ви зараз оновили. Я думаю, що просто через велику обережність, враховуючи критичність, краще просто змінити це».
Він продовжив: «Моя рекомендація номер ONE — придбати апаратний гаманець».
Як це сталося
Уразливість виникла внаслідок хитрості в мові програмування javascript, яка іноді призводила до того, що Secret фраза користувача для відновлення зберігалася в локальній пам’яті користувача протягом певного періоду часу (точний термін невідомий і, ймовірно, залежить від пристрою).
Якби користувач ввів цю фразу на скомпрометованому або іншим чином ненадійному пристрої, зловмисник мав би можливість видалити її з пам’яті, якби він або вона точно знав, де шукати (або, що ймовірніше, мав спеціальний інструмент для виконання цього завдання).
Secret фраза відновлення — також називається вихідною фразою або мнемонічної фразою — це серія з 12 слів, які користувачі отримують, коли налаштовують розумний гаманець, і вона служить головним ключем, якщо користувачам коли-небудь знадобиться відновити свій гаманець або налаштувати його на новому пристрої.
Якщо Secret фраза про відновлення особи потрапляє до рук зловмисника, вона може бути використана для захоплення повного контролю над коштами особи.
MetaMask повідомили про помилку в липні 2021 року та випустили патч у березні цього року. Phantom дізнався про помилку у вересні 2021 року та випустив кілька патчів для вирішення проблеми в період з січня по квітень 2022 року.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Підтриманий Stripe блокчейн Tempo запускає тестову мережу; Kalshi, Mastercard, UBS приєдналися як партнери
Tempo, створений компаніями Stripe та Paradigm, розпочав тестування блокчейну з орієнтацією на платежі та залучив низку інституційних партнерів.
What to know:
- Блокчейн Tempo від Stripe та Paradigm запустив свій публічний тестнет для тестування платежів у реальних умовах.
- Kalshi, Klarna, Mastercard та UBS входять до числа нових інституційних партнерів, які тепер беруть участь у проєкті.
- Tempo прагне запропонувати інфраструктуру з низькими витратами та швидким розрахунком для глобальних платежів у міру швидкого зростання прийняття стейблкоїнів у світі.
Головне
