MetaMask, Phantom и другие браузерные кошельки устраняют уязвимость безопасности

MetaMask и Phantom, два крупнейших поставщика Криптo кошельков, в среду сообщили в своих блогах, что недавно они устранили уязвимость безопасности, которая могла привести к раскрытию конфиденциальных учетных данных пользователям со взломанными устройствами.

Поставщики кошельков утверждают, что нет никаких доказательств того, что уязвимость когда-либо использовалась злоумышленниками, то есть неизвестно, пострадали ли средства пользователей.

MetaMask и Phantom, которые обнаружили ошибку, основываясь на информации от компании по безопасности блокчейнаХолборн – сообщил по крайней мере 10 другим браузерным HOT кошелькам, что они содержат ту же уязвимость. Полный список затронутых – и исправленных – кошельков на данный момент неясен.

Хотя уязвимость имела узкий вектор атаки и нет никаких доказательств того, что она когда-либо использовалась хакерами, она подчеркивает неотъемлемый риск безопасности подключенных к Интернету HOT кошельков по сравнению с более безопасными — хотя и менее удобными — аппаратными кошельками.

Стоит ли вам беспокоиться?

MetaMask и Phantom не рекомендуют большинству пользователей предпринимать какие-либо действия, кроме обновления браузеров, чтобы убедиться, что используемые ими кошельки работают под управлением самых последних версий программного обеспечения.

Согласно сообщению в блоге отМетаМаскаВам следует беспокоиться только в том случае, если вы соответствуете всем следующим условиям:

• Ваш жесткий диск не был зашифрован
• Вы импортировали свою Secret фразу восстановления в расширение MetaMask на устройстве, которое принадлежит человеку, которому вы не доверяете, или ваш компьютер взломан
• Вы использовали флажок «Показать Secret фразу восстановления», чтобы увидеть Secret фразу восстановления на экране во время процесса импорта.

«Если ваш компьютер физически не защищен от людей, которым вы не доверяете, мы рекомендуем вам включить полное шифрование диска в вашей системе», — говорится в сообщении в блоге MetaMask. «Кроме того, это не повлияет на вас, если ваши средства управляются аппаратным кошельком».

Пост в блоге Phantom во многом перекликается с постом MetaMask.

В своем сообщении в блоге MetaMask описывает шаги, которые следует предпринять пользователям для перехода на новый кошелек, если они считают, что их учетные данные могли быть скомпрометированы.

Компания Halborn, получившая вознаграждение в размере 50 000 долларов за раскрытие уязвимости, рекомендовала большинству пользователей перейти на новый адрес кошелька в целях предосторожности.

Стив Уолброэль, соучредитель Halborn, сказал CoinDesk: «Учитывая тот факт, что это существует уже так долго, вы T знаете, кто мог быть [использован]. Возможно, вы нажали на плохое фишинговое письмо, и у них есть доступ к вашему компьютеру. Возможно, кто-то уже забрал его раньше, хотя вы сейчас обновились. Я просто думаю, что из соображений предосторожности, учитывая критичность, лучше просто изменить его».

Он продолжил: «Моя ONE рекомендация — просто обзавестись аппаратным кошельком».

Как это произошло

Уязвимость возникла из-за ошибки в языке программирования JavaScript, которая иногда приводила к тому, что Secret фраза восстановления пользователя сохранялась в локальной памяти пользователя в течение некоторого периода времени (точный срок хранения неизвестен и, вероятно, зависит от устройства).

Если бы пользователь ввел эту фразу на взломанном или иным образом ненадежном устройстве, злоумышленник имел бы возможность извлечь ее из памяти, если бы он или она точно знали, где искать (или, что более вероятно, имели бы специализированный инструмент для этой задачи).

Secret фраза восстановления (также называемая исходной фразой или мнемонической фразой) — это серия из 12 слов, которую пользователи получают при настройке смарт-кошелька. Она служит главным ключом на случай, если пользователям когда-либо понадобится восстановить свой кошелек или настроить его на новом устройстве.

Если Secret фраза восстановления доступа человека попадет в руки злоумышленника, ее можно будет использовать для получения полного контроля над финансами этого человека.

MetaMask был проинформирован об ошибке в июле 2021 года и выпустил патч в марте этого года. Phantom узнал об ошибке в сентябре 2021 года и выпустил несколько патчей для решения проблемы в период с января по апрель 2022 года.