MetaMask и Phantom, два крупнейших поставщика криптокошелька, раскрыли в сообщениях в блоге в среду, что недавно исправили уязвимость безопасности, которая могла бы раскрыть конфиденциальные данные пользователей с скомпрометированными устройствами.
Поставщики кошельков говорят, что нет никаких доказательств того, что уязвимость когда-либо использовалась злоумышленниками, что означает, что никакие пользовательские средства, как известно, не были затронуты. MetaMask и Phantom, которые обнаружили ошибку на основе совета от фирмы по безопасности блокчейна Halborn, сообщили по крайней мере 10 другим горячим кошелькам на основе браузера, что они содержат ту же уязвимость. Полный список затронутых и исправленных кошельков в настоящее время неясен.
Хотя уязвимость сопровождалась узким вектором атаки, и нет никаких доказательств того, что она когда-либо использовалась хакерами, она подчеркивает неотъемлемый риск безопасности горячих кошельков, подключенных к Интернету, по сравнению с более безопасными - хотя и менее удобными - аппаратными кошельками. MetaMask и Phantom не рекомендуют большинству пользователей предпринимать какие-либо действия, кроме обновления своих браузеров, чтобы убедиться, что в кошельках, которые они используют, работают самые последние версии программного обеспечения. Согласно сообщению в блоге MetaMask, вы должны беспокоиться только в том случае, если вы соответствуете всем следующим условиям:
- Ваш жесткий диск не был зашифрован
- Вы импортировали свою секретную фразу восстановления в расширение MetaMask на устройстве, которое владеет кем-то, кому вы не доверяете, или ваш компьютер скомпрометирован.
- Вы использовали флажок «Показать фразу восстановления секрета» для просмотра фразы тайного восстановления на экране во время этого процесса импорта.
"Если ваш компьютер физически не защищен от людей, которым вы не доверяете, мы рекомендуем вам включить полное шифрование диска в вашей системе", - говорится в сообщении в блоге MetaMask. "Кроме того, это не повлияет на вас, если ваши средства управляются аппаратным кошельком".
Сообщение в блоге Phantom в значительной степени перекликается с сообщением MetaMask. В своем блоге MetaMask описывает шаги, которые пользователи должны предпринять для перехода на новый кошелек, если они считают, что их учетные данные могли быть скомпрометированы. Halborn, который был вознагражден в размере 50 000 долларов США за раскрытие ошибки, рекомендовал большинству пользователей перейти на новый адрес кошелька из-за избытка осторожности.
Стив Уолбрул, соучредитель Halborn, сказал: "Просто учитывая тот факт, что это то, что существует так долго, вы не знаете, кто мог бы получить информацию. Возможно, вы нажали на фишинговую ссылку по электронной почте, и у них есть доступ к вашей технике. Может быть, кто-то брал его раньше, даже если вы обновили ключи. Я просто думаю из-за избытка осторожности, учитывая критичность, лучше просто изменить ее".
Он продолжил: "Моя рекомендация номер один - просто получить аппаратный кошелек".
Как это произошло
Уязвимость возникла из-за причуды в языке программирования javascript, которая иногда приводила к тому, что секретная фраза восстановления пользователя хранилась в локальной памяти пользователя в течение некоторого периода времени. Если бы пользователь ввел эту фразу на скомпрометированном или ином ненадежном устройстве, злоумышленник имел бы возможность взять ее из памяти, если бы он или она точно знали, где искать (или, скорее всего, имел специализированный инструмент для выполнения задачи).
Секретная фраза восстановления, также называемая начальной фразой или мнемонической фразой, представляет собой серию из 12 слов, которые пользователи получают при настройке смарт-кошелька, и она служит мастер-ключом, если пользователям когда-либо понадобится восстановить свой кошелек или настроить его на новом устройстве. Если секретная фраза человека попадает в руки кого-то злонамеренного, она может быть использована для захвата полного контроля над средствами человека.
MetaMask был проинформирован об ошибке в июле 2021 года и выпустил патч в марте этого года. Phantom узнал об ошибке в сентябре 2021 года и выпустил несколько патчей для решения этой проблемы в период с января по апрель 2022 года.