MetaMask, Phantom y otras carteras de navegador corrigen vulnerabilidad de seguridad

MetaMask y Phantom, dos de los mayores proveedores de billeteras Cripto , revelaron en publicaciones de blog el miércoles que recientemente solucionaron una vulnerabilidad de seguridad que podría haber expuesto credenciales de inicio de sesión confidenciales a usuarios con dispositivos comprometidos.

Los proveedores de billeteras dicen que no hay evidencia de que los atacantes hayan explotado la vulnerabilidad, lo que significa que no se sabe que los fondos de los usuarios se hayan visto afectados.

MetaMask y Phantom, que descubrieron el error gracias a un aviso de una empresa de seguridad blockchainHalborn Se informó a al menos otras 10 billeteras HOT basadas en navegador que contenían la misma vulnerabilidad. La lista completa de billeteras afectadas y parcheadas no está clara por el momento.

Aunque la vulnerabilidad vino con un vector de ataque estrecho y no hay evidencia de que haya sido explotada por piratas informáticos, resalta el riesgo de seguridad inherente de las billeteras HOT conectadas a Internet en comparación con las billeteras de hardware más seguras, aunque menos convenientes.

¿Debería usted preocuparse?

MetaMask y Phantom no recomiendan que la mayoría de los usuarios realicen ninguna acción más que actualizar sus navegadores para asegurarse de que las billeteras que utilizan ejecuten las versiones de software más actualizadas.

Según la publicación del blog deMetaMaskSólo debería preocuparse si cumple todas las condiciones siguientes:

• Su disco duro no fue encriptado
• Importó su frase de recuperación Secret a una extensión de MetaMask en un dispositivo que está en posesión de alguien en quien no confía, o su computadora está comprometida
• Usó la casilla de verificación “Mostrar frase de recuperación Secret ” para ver su frase de recuperación Secret en pantalla durante ese proceso de importación

Si su computadora no está físicamente protegida contra personas en las que no confía, le recomendamos habilitar el cifrado de disco completo en su sistema, según la publicación del blog de MetaMask. Además, esto no le afecta si sus fondos se administran mediante una billetera física.

La publicación del blog de Phantom coincidió en gran medida con la de MetaMask.

En su publicación de blog, MetaMask describe los pasos que los usuarios deben seguir para migrar a una nueva billetera si creen que sus credenciales podrían haber sido comprometidas.

Halborn, que recibió una recompensa de 50.000 dólares por revelar el error, recomendó a la mayoría de los usuarios que cambien a una nueva dirección de billetera como medida de precaución.

Steve Walbroehl, cofundador de Halborn, declaró a CoinDesk: «Dado que esto lleva tanto tiempo presente, no se sabe quién podría haber sido víctima de una vulnerabilidad. Quizás hayas hecho clic en un correo electrónico de phishing malicioso y hayan accedido a tu equipo. Quizás alguien lo haya robado antes, aunque ahora hayas actualizado. Por precaución, dada la gravedad de la situación, es mejor simplemente cambiarlo».

Continuó: “Mi recomendación número ONE es simplemente adquirir una billetera de hardware”.

Cómo sucedió

La vulnerabilidad fue resultado de una peculiaridad en el lenguaje de programación JavaScript que a veces provocaba que la frase de recuperación Secret de un usuario se almacenara en la memoria local del usuario durante un período de tiempo determinado (se desconoce exactamente cuánto tiempo y probablemente varía según el dispositivo).

Si un usuario ingresó esta frase en un dispositivo comprometido o no confiable, un atacante habría tenido la posibilidad de robarla de la memoria si hubiera sabido exactamente dónde buscar (o, más probablemente, hubiera tenido una herramienta especializada para la tarea).

Una frase de recuperación Secret , también llamada frase semilla o frase mnemotécnica, es una serie de 12 palabras que los usuarios reciben cuando configuran una billetera inteligente y sirve como clave maestra si alguna vez necesitan recuperar su billetera o configurarla en un nuevo dispositivo.

Si la frase de recuperación Secret de una persona cae en manos de alguien malintencionado, podría utilizarse para tomar el control total de los fondos de esa persona.

MetaMask fue informado del error en julio de 2021 y publicó un parche en marzo de este año. Phantom se enteró del error en septiembre de 2021 y publicó varios parches para solucionarlo entre enero y abril de 2022.