" Популярные криптовалютные кошельки, в том числе MetaMask и Phantom, в течение нескольких месяцев страдали от критической уязвимости в своем программном расширении для браузера, говорится в отчете, опубликованном в среду компанией по кибербезопасности Halborn.
Уязвимость, появившаяся в сентябре 2021 года и теперь исправленная, подвергала риску средства пользователей, поскольку позволяла хакерам извлекать исходные фразы для восстановления кошелька, хранящиеся на дисках компьютеров. Однако об эксплойтах, которые могли бы быть связаны с уязвимостью, пока не сообщалось.
В отчете исследователи Halborn сообщили, что начальные фразы, сгенерированные поставщиками кошельков, сохраняются на компьютерах пользователей в виде обычного текста в рамках функции «Восстановление сеанса». Это означало, что злоумышленники могли получить доступ, используя вредоносное ПО или физический доступ. Халборн добавил, что они работали с поставщиками кошельков, чтобы внести в них исправления против уязвимости.
MetaMask, самый популярный кошелек web3 на Ethereum (ETH), пояснил, что критическая проблема безопасности затронула лишь «небольшой сегмент пользователей» и что подавляющее большинство пользователей не подвергались высокому риску. Команда MetaMask добавила, что она уже выпустила меры по устранению уязвимости в своем последнем обновлении кошелька для браузеров.
Между тем, Phantom, наиболее часто используемый кошелек web3 в блокчейне Solana (SOL), заявил, что начал выпускать исправления еще в январе, через три месяца после того, как уязвимость была первоначально отмечена компанией Halborn. Кроме того, Phantom планирует выпустить еще один исчерпывающий патч на следующей неделе.
