MetaMask, Phantom at Iba Pang Browser Wallets Patch Security Vulnerability

Ang MetaMask at Phantom, dalawa sa pinakamalaking provider ng Crypto wallet, ay nagsiwalat sa mga post sa blog noong Miyerkules na nag-patch kamakailan sila ng isang kahinaan sa seguridad na maaaring naglantad ng mga sensitibong kredensyal sa pag-log in sa mga user na may mga nakompromisong device.

Sinasabi ng mga tagapagbigay ng wallet na walang katibayan na ang kahinaan ay pinagsamantalahan ng mga umaatake, ibig sabihin walang mga pondo ng gumagamit ang nalalamang naapektuhan.

MetaMask at Phantom – na natuklasan ang bug batay sa isang tip mula sa blockchain security firm Halborn – ipinaalam sa hindi bababa sa 10 iba pang mga HOT wallet na nakabatay sa browser na naglalaman ang mga ito ng parehong kahinaan. Ang buong listahan ng mga naapektuhan - at na-patch na - mga wallet ay hindi malinaw sa ngayon.

Bagama't ang kahinaan ay may kasamang makitid na vector ng pag-atake at walang katibayan na ito ay pinagsamantalahan ng mga hacker, itinatampok nito ang likas na panganib sa seguridad ng mga HOT wallet na konektado sa internet kumpara sa mas secure – kahit hindi gaanong maginhawa – mga hardware wallet.

Dapat kang mag-alala?

Hindi inirerekomenda ng MetaMask at Phantom na ang karamihan sa mga user ay gumawa ng anumang aksyon maliban sa pag-update ng kanilang mga browser upang matiyak na ang mga wallet na ginagamit nila ay nagpapatakbo ng mga pinakabagong bersyon ng software.

Ayon sa blog post mula sa MetaMask dapat ka lang mag-alala kung tumutugma ka sa lahat ng sumusunod na kundisyon:

• Ang iyong hard drive ay hindi naka-encrypt
• Na-import mo ang iyong Secret Recovery Phrase sa isang MetaMask extension sa isang device na pagmamay-ari ng isang taong hindi mo pinagkakatiwalaan, o nakompromiso ang iyong computer
• Ginamit mo ang checkbox na "Show Secret Recovery Phrase" upang tingnan ang iyong Secret Recovery Phrase sa screen sa panahon ng proseso ng pag-import na iyon

"Kung ang iyong computer ay hindi pisikal na ligtas mula sa mga taong hindi mo pinagkakatiwalaan, inirerekumenda namin na paganahin mo ang buong disk encryption sa iyong system," ayon sa post sa blog ng MetaMask. "Bukod dito, hindi ka apektado nito kung ang iyong mga pondo ay pinamamahalaan ng isang hardware wallet."

Ang post sa blog ng Phantom ay higit na nag-echo sa MetaMask.

Sa post sa blog nito, binabalangkas ng MetaMask ang mga hakbang na dapat gawin ng mga user para lumipat sa isang bagong wallet kung naniniwala silang maaaring nakompromiso ang kanilang mga kredensyal.

Ang Halborn, na binigyan ng gantimpala ng $50,000 na bounty para sa pagsisiwalat ng bug, ay inirerekomenda ang karamihan sa mga user na magpalit sa isang bagong wallet address dahil sa labis na pag-iingat.

Sinabi ni Steve Walbroehl, co-founder ng Halborn, sa CoinDesk, "Sa katunayan na ito ay isang bagay na matagal nang umiiral, T mo alam kung sino ang posibleng nakakuha ng [pinagsamantalahan]. Marahil ay nag-click ka sa isang masamang email sa phishing at mayroon silang access sa iyong makina. Marahil ay may kumuha nito noon kahit na ngayon ay nag-upgrade ka na, dahil sa kasaganaan, naisip ko na ito ay mas mahusay. palitan mo na lang."

Ipinagpatuloy niya, "Ang aking numero ONE rekomendasyon ay kumuha na lang ng hardware wallet."

Paano nangyari

Ang kahinaan ay nagresulta mula sa isang quirk sa javascript programming language na kung minsan ay humantong sa Secret na parirala sa pagbawi ng isang user na nakaimbak sa lokal na memorya ng isang user sa loob ng ilang yugto ng panahon (eksaktong kung gaano katagal ang hindi alam at malamang na nag-iiba ayon sa device).

Kung inilagay ng isang user ang pariralang ito sa isang nakompromiso o kung hindi man ay hindi pinagkakatiwalaang device, ang isang attacker ay magkakaroon ng kakayahang i-swipe ito mula sa memorya kung alam niya kung saan eksaktong titingnan (o, mas malamang, may espesyal na tool para sa gawain).

Ang isang Secret na parirala sa pagbawi – tinatawag ding seed phrase o mnemonic na parirala – ay isang serye ng 12 salita na natatanggap ng mga user kapag nag-set up sila ng smart wallet, at ito ay nagsisilbing master key sakaling kailanganin ng mga user na bawiin ang kanilang wallet o i-set up ito sa isang bagong device.

Kung ang Secret na parirala sa pagbawi ng isang tao ay nahulog sa mga kamay ng isang taong malisyoso, maaari itong gamitin upang kunin ang ganap na kontrol sa mga pondo ng tao.

Ipinaalam ang MetaMask tungkol sa bug noong Hulyo 2021 at naglabas ng patch noong Marso ng taong ito. Nalaman ng Phantom ang bug noong Setyembre 2021 at naglabas ng ilang patch para tugunan ang isyu sa pagitan ng Enero at Abril 2022.