關鍵要點
- MetaMask 和 Phantom 已修復其瀏覽器擴充錢包中的一個嚴重漏洞。
- 該漏洞代號為“惡魔”,透過將用戶的秘密恢復階段以未加密的純文字形式記錄在用戶的驅動器上,暴露了用戶的秘密恢復階段。
- 雖然錢包提供者已經修復了該威脅,但一些用戶可能仍然容易受到攻擊,除非他們使用最新的錢包軟體版本將資金遷移到新錢包。
分享此文章
一份新報告顯示,一些最受歡迎的瀏覽器擴展加密錢包一直存在嚴重漏洞,導致用戶的秘密恢復階段容易被盜。
加密錢包修補嚴重漏洞
多家瀏覽器錢包供應商已成功修復了一個長期存在的漏洞。
根據星期三 report 來自網路安全公司 Halborn 的一些最受歡迎的加密貨幣錢包,包括 MetaMask、Phantom、Brave 和 xDefi 瀏覽器的瀏覽器擴充軟體中存在嚴重漏洞。 在某些情況下,這個代號為「惡魔」的漏洞暴露了用戶的秘密恢復階段,使潛在的攻擊者能夠訪問全球瀏覽器擴展錢包中保存的數十億美元的加密貨幣。
Halborn 在報告中解釋說,不安全的權限漏洞使瀏覽器擴展加密錢包將所有非密碼輸入的內容(包括所謂的助記鍵或秘密恢復短語)作為未加密的純文字保存在用戶驅動器上,作為“恢復會話”功能。 它使所有使用秘密恢復短語導入瀏覽器擴展加密錢包的用戶面臨私鑰和加密貨幣資金被盜的風險。
在星期三 博客文章, Solana 錢包 幻象 指出 Halborn 在去年 XNUMX 月向他們發出了 Demonic 漏洞的警報,並於 XNUMX 月開始推出修復。 Phantom 證實,到 XNUMX 月份,所有用戶都受到了漏洞的保護,並表示打算在下週推出更詳盡的修補程式。 另一方面,MetaMask 說過 它已在10.11.3及更高版本中修復了漏洞。 然而,一些先前使用秘密恢復短語導入舊版瀏覽器錢包的用戶可能仍然面臨風險,特別是那些使用未加密硬碟或可能受到感染的電腦的用戶。
作為預防措施,MetaMask 建議用戶安裝最新版本的瀏覽器擴充錢包,並將資金遷移到新錢包。 到目前為止,尚未報告與 Demonic 漏洞相關的漏洞利用。
披露:在撰寫本文時,本文作者擁有 ETH 和其他幾種加密貨幣。
分享此文章
資料來源:https://cryptobriefing.com/metamask-phantom-fix-demonic-vulnerability-in-browser-wallets/?utm_source=feed&utm_medium=rss