MetaMask等多款瀏覽器錢包爆安全漏洞,部分已修復

06/17/2022作者: C, Judy

6 月 16 日,全球最大的兩家加密錢包提供商 MetaMask 和 Phantom 在部落格中的文章披露,他們最近修補了一個安全漏洞,該漏洞很可能會向使用受攻擊設備的用戶暴露敏感的登陸地址。

 

10 個瀏覽器錢包出現漏洞


早在去年 5 月,區塊鏈安全公司 Halborn 就已經發現了 MetaMask 和 Phantom 的漏洞,除此之外,該公司還通知了至少 10 個其他基於瀏覽器擴充的錢包提供商。

據悉,此次披露的漏洞源於 Javascript 中某個問題,可能導致助記詞在內存中儲存一段時間,使攻擊者有機從未加密的硬碟上獲取助記詞,從而控制受害用戶加密資產和 NFT。這使許多基於瀏覽器擴充的錢包暴露在被駭風險之中。

 

符合條件的用戶才會受漏洞影響


MetaMask 表示,使用行動裝置應用程式的用戶不受影響,但包括 MetaMask 在內的許多瀏覽器錢包中的一小部分用戶會面臨安全風險。

團隊還進一步列出了可能會被攻擊的用戶的條件:

  1. 硬碟未加密
  2. 將註記詞導入已被駭的電腦或是有你不信任的人。
  3. 在導入時使用了「顯示助記詞」功能

此外,MetaMask 建議,如果用戶符合上述所有條件,那麼用戶需要考慮從這些錢包帳戶中轉移資金以確保安全。同時提供遷移帳戶資金的指南,並表示使用任何第三方遷移工具必須由您自擔風險。

團隊後續進一步建議如用戶擔心資產受影響,可考量在系統上啟用磁碟加密,並使用硬體錢包管理資產。

 

4 家加密錢包已修復漏洞


目前,包括 MetaMask、Phantom、Brave 和 xDefi 的 4 家加密貨幣錢包已經修復了漏洞。

Phantom 在昨日表示,他們在 2021 年 9 月了解到該漏洞,在今年 4 月全面修補了該漏洞。同時補充,將在下週推出另一個重要的安全修補程式。

MetaMask 則表示,,團隊已在三月發布的 MetaMask 擴充版本 10.11.3 中修復該漏洞,因此對於使用此版本及更新版本的用戶來說,這些應該不構成問題。

Halborn 也因通報該漏洞從 MetaMask 獲得了 50,000 美元賞金。