В среду MetaMask заявила, что с помощью исследователей безопасности из Halborn обнаружила критическую уязвимость в безопасности в старых версиях своего криптовалютного кошелька. За открытие охранная фирма получила награду в размере 50 000 долларов.
Для пользователей расширения MetaMask до версии 10.11.3 наличие потенциальной уязвимости могло привести к трем необходимым условиям. Это: 1) незашифрованный жесткий диск, 2) импорт секретной фразы восстановления в расширение MetaMask на устройстве, которое было скомпрометировано, украдено или имеет несанкционированный доступ, и 3) использование флажка «Показать секретную фразу восстановления», чтобыпросматривать секретную фразу восстановления на экране во время процесса импорта.
«Мы только обнаружили, что секретную фразу восстановления можно извлечь при очень специфических обстоятельствах, и мы смогли ввести новые средства защиты в течение периода, который Халборн ждал, чтобы раскрыть».
Судя по всему, эксплойт затрагивает все браузерные версии кошелька MetaMask до обновления 10.11.3 и все операционные системы при соблюдении всех трех обстоятельств, но не мобильные версии.
MetaMask предупреждает затронутых пользователей о необходимости перевести свои средства из взломанных кошельков. Однако имейте в виду, что все три условия должны быть выполнены, чтобы уязвимость была активна в более старых версиях MetaMask.
