MetaMask, Phantom e altri portafogli del browser correggono la vulnerabilità di sicurezza

MetaMask e Phantom, due dei maggiori fornitori di portafogli Cripto , hanno annunciato mercoledì in un post sul blog di aver recentemente corretto una vulnerabilità di sicurezza che avrebbe potuto esporre credenziali di accesso sensibili agli utenti con dispositivi compromessi.

I fornitori di wallet affermano che non ci sono prove che la vulnerabilità sia mai stata sfruttata dagli aggressori, il che significa che non risulta che i fondi degli utenti siano stati interessati.

MetaMask e Phantom – che hanno scoperto il bug basandosi su una segnalazione di un’azienda di sicurezza blockchainAlbornoziano – ha informato almeno altri 10 HOT wallet basati su browser che contenevano la stessa vulnerabilità. L'elenco completo dei wallet interessati (e patchati) non è chiaro al momento.

Sebbene la vulnerabilità abbia un vettore di attacco limitato e non ci siano prove che sia mai stata sfruttata dagli hacker, evidenzia il rischio intrinseco per la sicurezza dei portafogli HOT connessi a Internet rispetto ai portafogli hardware più sicuri, anche se meno convenienti.

Dovresti preoccuparti?

MetaMask e Phantom sconsigliano alla maggior parte degli utenti di adottare altre misure se non quella di aggiornare i propri browser per garantire che i portafogli utilizzati utilizzino le versioni software più aggiornate.

Secondo il post del blog diMetaMascheradovresti preoccuparti solo se soddisfi tutte le seguenti condizioni:

• Il tuo disco rigido non è stato crittografato
• Hai importato la tua frase di recupero Secret in un'estensione MetaMask su un dispositivo in possesso di qualcuno di cui non ti fidi o il tuo computer è compromesso
• Hai utilizzato la casella di controllo "Mostra frase di recupero Secret " per visualizzare la tua frase di recupero Secret sullo schermo durante il processo di importazione

"Se il tuo computer non è fisicamente al sicuro da persone di cui non ti fidi, ti consigliamo di abilitare la crittografia completa del disco sul tuo sistema", secondo il post del blog MetaMask. "Inoltre, non sei interessato da questo se i tuoi fondi sono gestiti da un portafoglio hardware".

Il post sul blog di Phantom riecheggiava ampiamente quello di MetaMask.

Nel suo post sul blog, MetaMask delinea i passaggi che gli utenti dovrebbero seguire per passare a un nuovo portafoglio se ritengono che le loro credenziali potrebbero essere state compromesse.

Halborn, che ha ricevuto una ricompensa di 50.000 dollari per aver segnalato il bug, ha raccomandato alla maggior parte degli utenti di passare a un nuovo indirizzo di portafoglio per eccesso di cautela.

Steve Walbroehl, co-fondatore di Halborn, ha detto a CoinDesk, "Solo dato il fatto che questa è una cosa che esiste da così tanto tempo, T sai chi potrebbe essere stato [sfruttato]. Forse hai cliccato su un'e-mail di phishing dannosa e loro hanno accesso al tuo computer. Forse qualcuno l'ha presa prima anche se ora hai effettuato l'aggiornamento. Penso solo che per eccesso di cautela, data la criticità, sia meglio cambiarlo e basta".

Ha continuato: "La mia raccomandazione numero ONE è quella di procurarsi un portafoglio hardware".

Come è successo

La vulnerabilità è dovuta a una particolarità del linguaggio di programmazione JavaScript che talvolta fa sì che la frase di recupero Secret di un utente venga archiviata nella memoria locale dell'utente per un certo periodo di tempo (non si sa per quanto tempo esatto, probabilmente varia a seconda del dispositivo).

Se un utente avesse inserito questa frase su un dispositivo compromesso o comunque non affidabile, un aggressore avrebbe avuto la possibilità di cancellarla dalla memoria se avesse saputo esattamente dove cercare (o, cosa più probabile, avesse avuto a disposizione uno strumento specializzato per tale compito).

Una frase di recupero Secret , detta anche frase seme o frase mnemonica, è una serie di 12 parole che gli utenti ricevono quando configurano un portafoglio intelligente e funge da chiave maestra nel caso in cui gli utenti dovessero mai aver bisogno di recuperare il proprio portafoglio o di configurarlo su un nuovo dispositivo.

Se la frase di recupero Secret di una persona finisce nelle mani di un malintenzionato, potrebbe essere utilizzata per impossessarsi del pieno controllo dei fondi della persona in questione.

MetaMask è stata informata del bug a luglio 2021 e ha rilasciato una patch a marzo di quest'anno. Phantom è venuta a conoscenza del bug a settembre 2021 e ha rilasciato diverse patch per risolvere il problema tra gennaio e aprile 2022.