В среду MetaMask заявила, что с помощью исследователей безопасности из Halborn обнаружила критическую уязвимость в безопасности в старых версиях своего криптокошелька. За открытие охранная фирма получила награду в размере 50 000 долларов.
Для пользователей расширения MetaMask до версии 10.11.3 наличие потенциальной уязвимости могло привести к трем необходимым условиям. Это: 1) незашифрованный жесткий диск, 2) импорт секретной фразы восстановления в расширение MetaMask на устройстве, которое было скомпрометировано, украдено или имеет несанкционированный доступ, и 3) использование флажка «Показать секретную фразу восстановления», чтобы просматривать секретную фразу восстановления на экране во время процесса импорта.
«Мы только обнаружили, что секретная фраза восстановления может быть извлечена при очень специфических обстоятельствах, и мы смогли ввести новые средства защиты в течение периода, который Халборн ждал, чтобы раскрыть».
Судя по всему, эксплойт затрагивает все браузерные версии кошелька MetaMask до обновления 10.11.3 и все операционные системы при соблюдении всех трех обстоятельств, но не мобильные версии.
MetaMask предупреждает затронутых пользователей о необходимости перевести свои средства из взломанных кошельков. Однако имейте в виду, что все три условия должны быть выполнены, чтобы уязвимость была активна в более старых версиях MetaMask.
Источник
