Tech

MetaMask, Phantom Fix «Дэманічная» уразлівасць у кашальках браўзера

06/16/2022
Навіны Bitcoin Ethereum

Ключавыя вынас

  • MetaMask і Phantom выправілі крытычную ўразлівасць у сваіх кашальках пашырэнняў браўзэра.
  • Уразлівасць пад кодавай назвай «Demonic» раскрывала сакрэтныя этапы аднаўлення карыстальнікаў, запісваючы іх у выглядзе незашыфраванага тэксту на дысках карыстальнікаў.
  • Нягледзячы на ​​тое, што пастаўшчыкі кашалькоў ліквідавалі пагрозу, некаторыя карыстальнікі ўсё яшчэ могуць быць уразлівымі, калі яны не перанясуць свае сродкі ў новыя кашалькі з выкарыстаннем апошніх версій праграмнага забеспячэння кашалька.

Адправіць гэтую артыкул

Некаторыя з самых папулярных крыпта-кашалькоў з пашырэннем браўзэра пакутуюць ад крытычнай уразлівасці, якая пакідае сакрэтныя этапы аднаўлення карыстальнікаў уразлівымі для крадзяжу, гаворыцца ў новым дакладзе.

Крыпта-кашалькі выпраўляюць крытычную ўразлівасць

Некалькі пастаўшчыкоў кашалькоў браўзэраў паспяхова ліквідавалі даўнюю ўразлівасць. 

Паводле серады паведамляць ад фірмы па кібербяспецы Halborn, некаторыя з самых папулярных криптовалютных кашалькоў, у тым ліку MetaMask, браўзэры Phantom, Brave і xDefi, пакутавалі ад крытычнай уразлівасці ў праграмным забеспячэнні пашырэння браўзэра. Пры пэўных умовах уразлівасць пад кодавай назвай «Demonic» раскрывала сакрэтныя этапы аднаўлення карыстальнікаў, даючы патэнцыйным зламыснікам доступ да мільярдаў даляраў у криптовалютах, якія захоўваюцца ў кашальках пашырэнняў браўзэра па ўсім свеце.

У справаздачы Хэлборн патлумачыў, што ўразлівасць небяспечных дазволаў мела пашырэнне браўзэра крыпта-кашалькі, якія захоўвалі змесціва ўсіх уводаў без пароляў, уключаючы так званыя мнеманічныя ключы або сакрэтныя фразы аднаўлення, у выглядзе незашыфраванага простага тэксту на дысках карыстальнікаў у рамках функцыя «Аднавіць сеанс». Гэта паставіла ўсіх карыстальнікаў, якія імпартавалі крыпта-кашалькі з пашырэннем браўзэра, выкарыстоўваючы сакрэтную фразу для аднаўлення, рызыку скрасці іх прыватныя ключы і сродкі криптовалюты.

У сераду блог, кашалёк Solana Фантом адзначыў, што Хэлборн папярэдзіў іх пра дэманскую ўразлівасць у верасні мінулага года і што ў студзені яны пачалі разгортваць выпраўленні. Phantom пацвердзіў, што да красавіка ўсе карыстальнікі былі абаронены ад уразлівасці, і заявіў аб намеры ўвесці яшчэ больш вычарпальны патч на наступным тыдні. MetaMask, з іншага боку, сказаў ён выпраўляў уразлівасць у версіях 10.11.3 і пазнейшых. Тым не менш, некаторыя карыстальнікі, якія раней імпартавалі старыя версіі кашалька браўзера, выкарыстоўваючы іх сакрэтную фразу для аднаўлення, усё яшчэ могуць знаходзіцца ў групе рызыкі, асабліва тыя, якія выкарыстоўвалі незашыфраваныя жорсткія дыскі або патэнцыйна зламаныя кампутары.

У якасці меры засцярогі MetaMask рэкамендаваў карыстальнікам усталяваць апошнюю версію кашалька пашырэння для браўзера і перанесці сродкі на новыя кашалькі. Пакуль не паведамлялася аб эксплойтах, звязаных з уразлівасцю Demonic.

Раскрыццё інфармацыі: на момант напісання артыкула аўтар гэтай артыкула валодаў ETH і некалькімі іншымі криптовалютами.

Адправіць гэтую артыкул

Інфармацыя на гэтым вэб-сайце альбо доступ да яго атрыманы з незалежных крыніц, якія мы лічым дакладнымі і надзейнымі, але Decentral Media, Inc. не дае ніякіх заяў і гарантый адносна своечасовасці, паўнаты і дакладнасці любой інфармацыі на гэтым сайце альбо доступу да яго. . Decentral Media, Inc. не з'яўляецца інвестыцыйным кансультантам. Мы не даем персанальных інвестыцыйных кансультацый і іншых фінансавых парад. Інфармацыя на гэтым сайце можа быць зменена без папярэдняга паведамлення. Частка альбо ўся інфармацыя на гэтым сайце можа састарэць, альбо стаць няпоўнай альбо недакладнай. Мы можам, але не абавязаны, абнаўляць састарэлую, няпоўную альбо недакладную інфармацыю.

Вы ніколі не павінны прымаць рашэнне аб інвестыцыях у ICO, IEO альбо іншыя інвестыцыі на падставе інфармацыі на гэтым сайце, і вы ніколі не павінны інтэрпрэтаваць альбо іншым чынам спадзявацца на якую-небудзь інфармацыю на гэтым сайце ў якасці інвестыцыйнай кансультацыі. Мы настойліва раім пракансультавацца з ліцэнзаваным інвестыцыйным кансультантам альбо іншым кваліфікаваным фінансавым спецыялістам, калі вы хочаце атрымаць інвестыцыйную кансультацыю па пытаннях ICO, IEO або іншых інвестыцыях. Мы не прымаем кампенсацыю ў любой форме за аналіз альбо справаздачнасць па якіх-небудзь ICO, IEO, криптовалютах, валютах, токенизированных продажах, каштоўных паперах або таварах.

паглядзець поўныя ўмовы.

Крыніца: https://cryptobriefing.com/metamask-phantom-fix-demonic-vulnerability-in-browser-wallets/?utm_source=feed&utm_medium=rss