Ключавыя вынас
- MetaMask і Phantom выправілі крытычную ўразлівасць у сваіх кашальках пашырэнняў браўзэра.
- Уразлівасць пад кодавай назвай «Demonic» раскрывала сакрэтныя этапы аднаўлення карыстальнікаў, запісваючы іх у выглядзе незашыфраванага тэксту на дысках карыстальнікаў.
- Нягледзячы на тое, што пастаўшчыкі кашалькоў ліквідавалі пагрозу, некаторыя карыстальнікі ўсё яшчэ могуць быць уразлівымі, калі яны не перанясуць свае сродкі ў новыя кашалькі з выкарыстаннем апошніх версій праграмнага забеспячэння кашалька.
Адправіць гэтую артыкул
Некаторыя з самых папулярных крыпта-кашалькоў з пашырэннем браўзэра пакутуюць ад крытычнай уразлівасці, якая пакідае сакрэтныя этапы аднаўлення карыстальнікаў уразлівымі для крадзяжу, гаворыцца ў новым дакладзе.
Крыпта-кашалькі выпраўляюць крытычную ўразлівасць
Некалькі пастаўшчыкоў кашалькоў браўзэраў паспяхова ліквідавалі даўнюю ўразлівасць.
Паводле серады паведамляць ад фірмы па кібербяспецы Halborn, некаторыя з самых папулярных криптовалютных кашалькоў, у тым ліку MetaMask, браўзэры Phantom, Brave і xDefi, пакутавалі ад крытычнай уразлівасці ў праграмным забеспячэнні пашырэння браўзэра. Пры пэўных умовах уразлівасць пад кодавай назвай «Demonic» раскрывала сакрэтныя этапы аднаўлення карыстальнікаў, даючы патэнцыйным зламыснікам доступ да мільярдаў даляраў у криптовалютах, якія захоўваюцца ў кашальках пашырэнняў браўзэра па ўсім свеце.
У справаздачы Хэлборн патлумачыў, што ўразлівасць небяспечных дазволаў мела пашырэнне браўзэра крыпта-кашалькі, якія захоўвалі змесціва ўсіх уводаў без пароляў, уключаючы так званыя мнеманічныя ключы або сакрэтныя фразы аднаўлення, у выглядзе незашыфраванага простага тэксту на дысках карыстальнікаў у рамках функцыя «Аднавіць сеанс». Гэта паставіла ўсіх карыстальнікаў, якія імпартавалі крыпта-кашалькі з пашырэннем браўзэра, выкарыстоўваючы сакрэтную фразу для аднаўлення, рызыку скрасці іх прыватныя ключы і сродкі криптовалюты.
У сераду блог, кашалёк Solana Фантом адзначыў, што Хэлборн папярэдзіў іх пра дэманскую ўразлівасць у верасні мінулага года і што ў студзені яны пачалі разгортваць выпраўленні. Phantom пацвердзіў, што да красавіка ўсе карыстальнікі былі абаронены ад уразлівасці, і заявіў аб намеры ўвесці яшчэ больш вычарпальны патч на наступным тыдні. MetaMask, з іншага боку, сказаў ён выпраўляў уразлівасць у версіях 10.11.3 і пазнейшых. Тым не менш, некаторыя карыстальнікі, якія раней імпартавалі старыя версіі кашалька браўзера, выкарыстоўваючы іх сакрэтную фразу для аднаўлення, усё яшчэ могуць знаходзіцца ў групе рызыкі, асабліва тыя, якія выкарыстоўвалі незашыфраваныя жорсткія дыскі або патэнцыйна зламаныя кампутары.
У якасці меры засцярогі MetaMask рэкамендаваў карыстальнікам усталяваць апошнюю версію кашалька пашырэння для браўзера і перанесці сродкі на новыя кашалькі. Пакуль не паведамлялася аб эксплойтах, звязаных з уразлівасцю Demonic.
Раскрыццё інфармацыі: на момант напісання артыкула аўтар гэтай артыкула валодаў ETH і некалькімі іншымі криптовалютами.
Адправіць гэтую артыкул
Крыніца: https://cryptobriefing.com/metamask-phantom-fix-demonic-vulnerability-in-browser-wallets/?utm_source=feed&utm_medium=rss