MetaMask, Phantom та інші веб-гаманці виправляють уразливість безпеки

MetaMask і Phantom, два з найбільших постачальників Крипто гаманців, оголосили в своїх публікаціях у блозі в середу, що вони нещодавно виправили вразливість безпеки, яка могла відкрити конфіденційні облікові дані користувачам зі зламаними пристроями.

Постачальники гаманців кажуть, що немає жодних доказів того, що зловмисники коли-небудь використовували вразливість, тобто не відомо, що кошти користувачів постраждали.

MetaMask і Phantom – які виявили помилку на основі підказки фірми безпеки блокчейну Халборн – повідомили принаймні 10 інших HOT гаманців на основі браузера, що вони містять ту саму вразливість. Наразі повний список гаманців, які підпали під вплив і були виправлені, невідомий.

Хоча вразливість має вузький напрямок атаки, і немає жодних доказів того, що її коли-небудь використовували хакери, вона підкреслює невід’ємний ризик безпеки HOT гаманців, підключених до Інтернету, порівняно з більш безпечними – хоча й менш зручними – апаратними гаманцями.

Чи варто хвилюватися?

MetaMask і Phantom не рекомендують більшості користувачів вживати будь-яких інших дій, окрім оновлення своїх браузерів, щоб переконатися, що на гаманцях, які вони використовують, працюють найновіші версії програмного забезпечення.

Відповідно до публікації в блозі від МетаМаска ви повинні хвилюватися, лише якщо ви відповідаєте всім наведеним нижче умовам:

• Ваш жорсткий диск не було зашифровано
• Ви імпортували свою Secret фразу відновлення в розширення MetaMask на пристрої, яким володіє хтось, кому ви не довіряєте, або ваш комп’ютер зламано
• Ви встановили прапорець «Показати Secret фразу відновлення», щоб переглянути Secret фразу відновлення на екрані під час процесу імпорту

«Якщо ваш комп’ютер фізично не захищений від людей, яким ви не довіряєте, ми рекомендуємо вам увімкнути повне шифрування диска у вашій системі», — йдеться в дописі в блозі MetaMask. «Крім того, це не стосується вас, якщо вашими коштами керує апаратний гаманець».

Публікація Phantom багато в чому повторює публікацію MetaMask.

У своєму блозі MetaMask описує кроки, які користувачі повинні зробити, щоб перейти на новий гаманець, якщо вони вважають, що їхні облікові дані могли бути скомпрометовані.

Халборн, який отримав винагороду в розмірі 50 000 доларів США за розкриття помилки, рекомендував більшості користувачів перейти на нову адресу гаманця з великої обережності.

Стів Уолбруль, співзасновник Halborn, сказав CoinDesk: "Просто враховуючи той факт, що це те, що існує так довго, ви T знаєте, хто міг стати [експлуатацією]. Можливо, ви натиснули на поганий фішинговий електронний лист, і вони отримали доступ до вашого комп’ютера. Можливо, хтось узяв його раніше, навіть якщо ви зараз оновили. Я думаю, що просто через велику обережність, враховуючи критичність, краще просто змінити це».

Він продовжив: «Моя рекомендація номер ONE — придбати апаратний гаманець».

Як це сталося

Уразливість виникла внаслідок хитрості в мові програмування javascript, яка іноді призводила до того, що Secret фраза користувача для відновлення зберігалася в локальній пам’яті користувача протягом певного періоду часу (точний термін невідомий і, ймовірно, залежить від пристрою).

Якби користувач ввів цю фразу на скомпрометованому або іншим чином ненадійному пристрої, зловмисник мав би можливість видалити її з пам’яті, якби він або вона точно знав, де шукати (або, що ймовірніше, мав спеціальний інструмент для виконання цього завдання).

Secret фраза відновлення — також називається вихідною фразою або мнемонічної фразою — це серія з 12 слів, які користувачі отримують, коли налаштовують розумний гаманець, і вона служить головним ключем, якщо користувачам коли-небудь знадобиться відновити свій гаманець або налаштувати його на новому пристрої.

Якщо Secret фраза про відновлення особи потрапляє до рук зловмисника, вона може бути використана для захоплення повного контролю над коштами особи.

MetaMask повідомили про помилку в липні 2021 року та випустили патч у березні цього року. Phantom дізнався про помилку у вересні 2021 року та випустив кілька патчів для вирішення проблеми в період з січня по квітень 2022 року.