MetaMask, Phantom e outras carteiras de navegador corrigem vulnerabilidade de segurança

A MetaMask e a Phantom, duas das maiores provedoras de carteiras de Cripto , divulgaram em postagens de blog na quarta-feira que recentemente corrigiram uma vulnerabilidade de segurança que poderia ter exposto credenciais de login confidenciais para usuários com dispositivos comprometidos.

Os provedores de carteira dizem que não há evidências de que a vulnerabilidade tenha sido explorada por invasores, o que significa que não há informações de que fundos de usuários tenham sido afetados.

MetaMask e Phantom – que descobriram o bug com base em uma dica da empresa de segurança blockchainFilhote de meio-fio – informou pelo menos 10 outras carteiras HOT baseadas em navegador que elas continham a mesma vulnerabilidade. A lista completa de carteiras impactadas – e corrigidas – não está clara neste momento.

Embora a vulnerabilidade tenha surgido com um vetor de ataque restrito e não haja evidências de que ela tenha sido explorada por hackers, ela destaca o risco de segurança inerente às carteiras HOT conectadas à Internet em comparação às carteiras de hardware mais seguras, embora menos convenientes.

Você deveria se preocupar?

A MetaMask e a Phantom não recomendam que a maioria dos usuários tome qualquer atitude além de atualizar seus navegadores para garantir que as carteiras que estão usando estejam executando as versões de software mais atualizadas.

De acordo com a postagem do blog deMetaMáscaravocê só deve se preocupar se preencher todas as seguintes condições:

• Seu disco rígido não foi criptografado
• Você importou sua Frase de Recuperação Secret para uma extensão MetaMask em um dispositivo que está em posse de alguém em quem você não confia, ou seu computador está comprometido
• Você usou a caixa de seleção “Mostrar frase de recuperação Secret ” para visualizar sua frase de recuperação Secret na tela durante o processo de importação

“Se seu computador não estiver fisicamente seguro de pessoas em quem você não confia, recomendamos que você habilite a criptografia de disco completo em seu sistema”, de acordo com a postagem do blog MetaMask. “Além disso, você não será afetado por isso se seus fundos forem gerenciados por uma carteira de hardware.”

A postagem do blog do Phantom ecoou amplamente a do MetaMask.

Em sua postagem no blog, a MetaMask descreve as etapas que os usuários devem seguir para migrar para uma nova carteira se acreditarem que suas credenciais podem ter sido comprometidas.

Halborn, que recebeu uma recompensa de US$ 50.000 por revelar o bug, recomendou que a maioria dos usuários mudasse para um novo endereço de carteira por precaução.

Steve Walbroehl, cofundador da Halborn, disse ao CoinDesk: “Só pelo fato de que isso é algo que existe há tanto tempo, você T sabe quem possivelmente poderia ter sido [explorado]. Talvez você tenha clicado em um e-mail de phishing ruim e eles tenham acesso à sua máquina. Talvez alguém o tenha pegado antes, mesmo que você tenha atualizado agora. Eu só acho que, por excesso de cautela, dada a criticidade, é melhor apenas alterá-lo.”

Ele continuou: “Minha recomendação número um é simplesmente adquirir uma carteira de hardware”.

Como aconteceu

A vulnerabilidade resultou de uma peculiaridade na linguagem de programação JavaScript que às vezes fazia com que a frase Secret de recuperação de um usuário fosse armazenada na memória local do usuário por algum período de tempo (não se sabe exatamente quanto tempo e provavelmente varia de acordo com o dispositivo).

Se um usuário digitasse essa frase em um dispositivo comprometido ou não confiável, um invasor teria a capacidade de roubá-la da memória se soubesse exatamente onde procurar (ou, mais provavelmente, tivesse uma ferramenta especializada para a tarefa).

Uma frase Secret de recuperação – também chamada de frase semente ou frase mnemônica – é uma série de 12 palavras que os usuários recebem quando configuram uma carteira inteligente e serve como uma chave mestra caso os usuários precisem recuperar sua carteira ou configurá-la em um novo dispositivo.

Se a frase Secret de recuperação de uma pessoa cair nas mãos de alguém mal-intencionado, ela poderá ser usada para assumir o controle total dos fundos da pessoa.

A MetaMask foi informada do bug em julho de 2021 e emitiu um patch em março deste ano. A Phantom soube do bug em setembro de 2021 e emitiu vários patches para resolver o problema entre janeiro e abril de 2022.