2024-08-20 03:47:06

部分已修复!MetaMask、Phantom等浏览器钱包曝助记词漏洞

摘要
流行加密货币钱包提供商MetaMask和Phantom今日表示,近日已修补了一个安全漏洞,该漏洞可能导致某些情况下,攻击者从被黑电脑的硬盘上获取助记词,使许多基于浏览器扩充的钱包暴露在被黑风险之中。

MetaMask、Phantom等浏览器钱包曝助记词安全漏洞

热门加密货币热钱包提供商MetaMask和Phantom(Solana生态)16日披露,他们最近已修补了一个安全漏洞。该漏洞源于Javascript中某个问题,可能导致助记词在内存中储存一段时间,使攻击者有机从未加密的硬盘上获取助记词,从而控制受害用户加密资产和NFT。

该漏洞由区块链安全公司Halborn在去年5月发现,据《Coindesk》说法,Halborn除了MetaMask和Phantom,已通知至少10个其他基于浏览器扩充的钱包提供商。

部分钱包已修复漏洞

Halborn确认目前已修复此漏洞的钱包包括MetaMask、Phantom、Brave和xDefi。

Phantom今日公告,他们在2021年9月了解到该漏洞,在今年4月全面修补了该漏洞。同时补充,将在下周推出另一个重要的安全修补程序。

MetaMask则表示,使用行动装置应用程序的用户不受影响,但包括MetaMask在内的许多浏览器钱包中的一小部分用户会面临安全风险,团队已在三月发布的MetaMask扩充版本10.11.3中修复该漏洞,因此对于使用此版本及更新版本的用户来说,这些应该不构成问题。

团队进一步解释,如果符合以下三个条件,才会增加攻击者获取助记词的可能性:

1.硬盘未加密

2.将注记词导入已被黑的电脑或是有你不信任的人。

3.在导入时使用了显示助记词功能

建议将资产转移到新钱包地址

MetaMask建议,如果用户符合上述所有条件,那么用户需要考虑从这些钱包账户中转移资金以确保安全。同时提供迁移账户资金的指南,并表示使用任何第三方迁移工具必须由您自担风险。

团队后续进一步建议如用户担心资产受影响,可考量在系统上启用硬盘加密,并使用硬件钱包管理资产。

而因通报该漏洞而从MetaMask获得了50,000美元赏金的Halborn,其共同创办人Steve Walbroehl向《Coindesk》表示,仍建议大多数用户转移到新的钱包地址。

“考虑到这件事已经存在了很长时间,你不知道哪时可能会被利用。也许你点击了一封错误的网络钓鱼邮件,使攻击者可以访问你的电脑。即使你现在已经升级,也可能有人以前使用过它。我只是出于谨慎考虑,鉴于其重要性,最好是改变它钱包地址。我的首要建议是买一个硬件钱包。”

声明:文章不代表币圈网观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险自担!转载请注明出处!侵权必究!
回顶部