12 подписчиков

MetaMask и Phantom исправляют уязвимость безопасности

MetaMask и Phantom сообщили в блогах в среду, что они недавно исправили уязвимость в системе безопасности, которая могла раскрыть конфиденциальные учетные данные для входа пользователям со взломанными устройствами.

Согласно сообщению в блоге MetaMask , вам следует беспокоиться только в том случае, если вы соответствуете всем следующим условиям:

🔸Ваш жесткий диск не был зашифрован

🔸Вы импортировали свою секретную фразу восстановления в расширение MetaMask на устройстве, которым владеет кто-то, кому вы не доверяете, или ваш компьютер взломан

🔸Вы использовали флажок «Показать секретную фразу восстановления», чтобы просмотреть секретную фразу восстановления на экране во время этого процесса импорта.

Сообщение в блоге Phantom во многом перекликается с сообщением MetaMask.

Halborn, получивший вознаграждение в размере 50 000 долларов за раскрытие ошибки, рекомендовал большинству пользователей перейти на новый адрес кошелька из-за предосторожности.

Уязвимость возникла из-за особенности JS, которая иногда приводила к тому, что сид фраза сохранялась в локальной памяти в течение некоторого периода времени (точное время неизвестно и, вероятно, зависит от устройства).

Если бы пользователь ввел эту фразу на ненадежном устройстве, злоумышленник имел бы возможность стереть ее из памяти, если бы точно знал, где искать.

Security Notice: Extension Disk Encryption Issue

medium.com

1 минута

18 июня 2022