安全指南:如何防御MetaMask浏览器钱包漏洞?
  • 作者:Gate交易所
  • 发表时间:2022-06-19 09:00

原文标题:《一文了解如何免受 MetaMask 浏览器钱包安全漏洞的影响》

注:北京时间 6 月 16 日凌晨,ConsenSys 开发者 Dan Finlay 披露了 MetaMask 浏览器扩展钱包存在的安全漏洞,这可能导致一小部分用户的钱包资金面临被盗风险,对此问题,他给出了一些安全建议。

Halborn 的研究人员发现了一种情况,即在极少数情况下可以在磁盘上发现未加密的用户密钥,该问题已经在 10.11.3 版本的 MetaMask 浏览器扩展钱包以及更高版本的钱包中得到了修复。

背景

Halborn 的安全研究人员披露了一个实例,在某种情况下,可以从被攻击的计算机磁盘中提取 MetaMask 等 Web 钱包使用的助记词短语。

以下内容不会影响 MetaMask 移动端钱包用户,而只会影响一小部分 MetaMask 浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施,因此对于 10.11.3 版本以及更高版本的 MetaMask 浏览器扩展钱包用户来说,这些不应该是问题。注意,如果以下三个条件都适用于你,那你的钱包可能会面临风险,你应该阅读以下内容了解后续步骤:

你的硬盘未加密;你已经将助记词短语导入到设备上的 MetaMask 浏览器扩展钱包中,而该设备由你不信任的人拥有,或者你的计算机已经被黑。在导入过程中,你使用了「显示助记词短语」(Show Secret Recovery Phrase)复选框在屏幕上查看你的助记词。(如下图所示)

影响

这会影响:

1、我们测试过的所有桌面操作系统以及浏览器;

2、我们使用 Google Chrome、Chromium 和 Firefox 浏览器在 Windows、macOS 和 Linux 上进行了测试;

3、所有浏览器版本上的所有版本 MetaMask 扩展(v10.11.3 之前)钱包。

但这个漏洞不会影响 MetaMask 移动端钱包。

助记词短语最终会被清除,但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入 MetaMask 后不久,设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件,那那些有权访问你计算机的人,就可能会拿到你的助记词短语,因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南,使用任何第三方迁移工具都需要自行承担风险。 相关文章:

  • 安全指南:如何防御MetaMask浏览器钱包漏
  • 韩国检方开始全面调查对Terra首席执行官
  • 分析趋势丨知史鉴今 市场到底了?
  • 数字藏品=N节点?有关联更有本质区别
  • Bankless:熊市中看好的8个项目