MetaMask предупреждает об уязвимости безопасности в старых версиях популярного криптовалютного кошелька

В среду MetaMask заявила, что с помощью исследователей безопасности из Halborn обнаружила критическую уязвимость в безопасности в старых версиях своего криптовалютного кошелька. За открытие охранная фирма получила награду в размере 50 000 долларов.

Для пользователей расширения MetaMask до версии 10.11.3 наличие потенциальной уязвимости могло привести к трем необходимым условиям. Это: 1) незашифрованный жесткий диск, 2) импорт секретной фразы восстановления в расширение MetaMask на устройстве, которое было скомпрометировано, украдено или имеет несанкционированный доступ, и 3) использование флажка «Показать секретную фразу восстановления», чтобыпросматривать секретную фразу восстановления на экране во время процесса импорта.

«Мы только обнаружили, что секретную фразу восстановления можно извлечь при очень специфических обстоятельствах, и мы смогли ввести новые средства защиты в течение периода, который Халборн ждал, чтобы раскрыть».

Судя по всему, эксплойт затрагивает все браузерные версии кошелька MetaMask до обновления 10.11.3 и все операционные системы при соблюдении всех трех обстоятельств, но не мобильные версии.

MetaMask предупреждает затронутых пользователей о необходимости перевести свои средства из взломанных кошельков. Однако имейте в виду, что все три условия должны быть выполнены, чтобы уязвимость была активна в более старых версиях MetaMask.