MetaMask ve Phantom, en büyük kripto cüzdan sağlayıcılarından ikisi, Çarşamba günkü blog yazılarında açıklandı yakın zamanda, güvenliği ihlal edilmiş cihazlara sahip kullanıcılara hassas oturum açma kimlik bilgilerini ifşa edebilecek bir güvenlik açığını yamaladılar.
Cüzdan sağlayıcıları, güvenlik açığının saldırganlar tarafından kullanıldığına dair hiçbir kanıt bulunmadığını, yani hiçbir kullanıcı fonunun etkilendiğine dair bilinmediğini söylüyor. Blok zinciri güvenlik firması Halborn’dan gelen bir ipucuna dayanarak hatayı keşfeden
MetaMask ve Phantom – en az 10 diğer tarayıcı tabanlı sıcak cüzdanı, içerdikleri aynı güvenlik açığı. Etkilenen ve yamalı cüzdanların tam listesi şu anda belirsiz.
Güvenlik açığı dar bir saldırı vektörü ile gelmesine ve bilgisayar korsanları tarafından istismar edildiğine dair hiçbir kanıt olmamasına rağmen, internete bağlı güvenlik riskinin altını çiziyor daha güvenli – daha az kullanışlı olsa da – donanım cüzdanlarına kıyasla sıcak cüzdanlar.
Endişelenmeli misiniz?
MetaMask ve Phantom, çoğu kullanıcının kullandıkları cüzdanların çalıştığından emin olmak için tarayıcılarını güncellemekten başka herhangi bir işlem yapmasını önermemektedir. en güncel yazılım sürümleri.
MetaMask’ın blog gönderisine göre, yalnızca aşağıdaki koşulların tümüne uymanız durumunda endişelenmeniz gerekir:
-
Sabit sürücünüz şifreli değildi
-
Gizli Kurtarma İfadenizi birinin sahip olduğu bir cihazdaki MetaMask uzantısına aktardınız güvenmiyorsunuz veya bilgisayarınızın güvenliği ihlal edilmiş
-
Bu içe aktarma işlemi sırasında Gizli Kurtarma Sözünüzü ekranda görüntülemek için “Gizli Kurtarma İfadesini Göster” onay kutusunu kullandınız
MetaMask’a göre “Bilgisayarınız fiziksel olarak güvenmediğiniz kişilerden korunmuyorsa, sisteminizde tam disk şifrelemeyi etkinleştirmenizi öneririz” Blog yazısı. “Ayrıca, fonlarınız bir donanım cüzdanı tarafından yönetiliyorsa bundan etkilenmezsiniz.”
Phantom’un blog gönderisi büyük ölçüde MetaMask’inkiyle aynıydı.
Blog yayınında, MetaMask, kimlik bilgilerinin ele geçirilmiş olabileceğine inanan kullanıcıların yeni bir cüzdana geçmek için atmaları gereken adımları özetliyor.
Hatayı ifşa ettiği için 50.000 $ ödül alan Halborn, çoğu kullanıcının çok dikkatli bir şekilde yeni bir cüzdan adresine geçmesini önerdi.
Halborn’un kurucu ortağı Steve Walbroehl, CoinDesk’e şunları söyledi: Kimin [sömürülmüş] olabileceğini bilin. Belki kötü bir kimlik avı e-postasını tıkladınız ve makinenize erişimleri var. Belki şimdi yükseltmiş olmanıza rağmen birileri daha önce almıştır. Sadece çok fazla ihtiyatlı düşünüyorum, kritikliği göz önüne alındığında, onu değiştirmek daha iyi. ”
“Bir numaralı tavsiyem sadece bir donanım cüzdanı almanızdır” diye devam etti.
Nasıl oldu
Güvenlik açığı, javascript programlama dilinde, bazen bir kullanıcının gizli kurtarma ifadesinin belirli bir süre boyunca kullanıcının yerel belleğinde saklanmasına yol açan tuhaflık (tam olarak ne kadar süre bilinmez ve cihaza göre değişiklik gösterebilir).
Bir kullanıcı bu ifadeyi güvenliği ihlal edilmiş veya başka bir şekilde güvenilmeyen bir cihaza girerse, saldırgan tam olarak biliyorsa bunu bellekten hızlıca kaydırabilirdi. nereye bakmalı (veya daha büyük olasılıkla, görev için özel bir araca sahipti).
Gizli bir kurtarma ifadesi – aynı zamanda başlangıç ifadesi veya anımsatıcı ifade olarak da adlandırılır – kullanıcıların bir akıllı cüzdan kurduklarında aldıkları 12 kelimelik bir dizidir ve kullanıcıların cüzdanlarını kurtarmaları veya yeni bir cihaza kurmaları gerektiğinde bir ana anahtar görevi görür.
Bir kişinin gizli kurtarma ifadesi kötü niyetli birinin eline geçerse, kişinin fonlarının tam kontrolünü ele geçirmek için kullanılabilir.
MetaMask, hatadan Temmuz 2021’de haberdar edildi ve bu yılın Mart ayında bir yama yayınladı. Phantom, hatayı Eylül 2021’de öğrendi ve Ocak ile Nisan 2022 arasında sorunu çözmek için birkaç yama yayınladı.
Şimdi Yerinizi Kaydedin
%5,51
%9,76
%5,91
2,33
%0,04
Tüm Fiyatları Görüntüle
Ethereum’un evrimini ve kripto pazarları üzerindeki etkisini anlatan haftalık bültenimiz Valid Points’e kaydolun.
MetaMask ve Phantom, en büyük kripto cüzdan sağlayıcılarından ikisi, Çarşamba günkü blog yazılarında açıklandı yakın zamanda, güvenliği ihlal edilmiş cihazlara sahip kullanıcılara hassas oturum açma kimlik bilgilerini ifşa edebilecek bir güvenlik açığını yamaladılar.
Cüzdan sağlayıcıları, güvenlik açığının saldırganlar tarafından kullanıldığına dair hiçbir kanıt bulunmadığını, yani hiçbir kullanıcı fonunun etkilendiğine dair bilinmediğini söylüyor. Blok zinciri güvenlik firması Halborn’dan gelen bir ipucuna dayanarak hatayı keşfeden
MetaMask ve Phantom – en az 10 diğer tarayıcı tabanlı sıcak cüzdanı, içerdikleri aynı güvenlik açığı. Etkilenen ve yamalı cüzdanların tam listesi şu anda belirsiz.
Güvenlik açığı dar bir saldırı vektörü ile gelmesine ve bilgisayar korsanları tarafından istismar edildiğine dair hiçbir kanıt olmamasına rağmen, internete bağlı güvenlik riskinin altını çiziyor daha güvenli – daha az kullanışlı olsa da – donanım cüzdanlarına kıyasla sıcak cüzdanlar.
Endişelenmeli misiniz?
MetaMask ve Phantom, çoğu kullanıcının kullandıkları cüzdanların çalıştığından emin olmak için tarayıcılarını güncellemekten başka herhangi bir işlem yapmasını önermemektedir. en güncel yazılım sürümleri.
MetaMask’ın blog gönderisine göre, yalnızca aşağıdaki koşulların tümüne uymanız durumunda endişelenmeniz gerekir:
-
Sabit sürücünüz şifreli değildi
-
Gizli Kurtarma İfadenizi birinin sahip olduğu bir cihazdaki MetaMask uzantısına aktardınız güvenmiyorsunuz veya bilgisayarınızın güvenliği ihlal edilmiş
-
Bu içe aktarma işlemi sırasında Gizli Kurtarma Sözünüzü ekranda görüntülemek için “Gizli Kurtarma İfadesini Göster” onay kutusunu kullandınız
MetaMask’a göre “Bilgisayarınız fiziksel olarak güvenmediğiniz kişilerden korunmuyorsa, sisteminizde tam disk şifrelemeyi etkinleştirmenizi öneririz” Blog yazısı. “Ayrıca, fonlarınız bir donanım cüzdanı tarafından yönetiliyorsa bundan etkilenmezsiniz.”
Phantom’un blog gönderisi büyük ölçüde MetaMask’inkiyle aynıydı.
Blog yayınında, MetaMask, kimlik bilgilerinin ele geçirilmiş olabileceğine inanan kullanıcıların yeni bir cüzdana geçmek için atmaları gereken adımları özetliyor.
Hatayı ifşa ettiği için 50.000 $ ödül alan Halborn, çoğu kullanıcının çok dikkatli bir şekilde yeni bir cüzdan adresine geçmesini önerdi.
Halborn’un kurucu ortağı Steve Walbroehl, CoinDesk’e şunları söyledi: Kimin [sömürülmüş] olabileceğini bilin. Belki kötü bir kimlik avı e-postasını tıkladınız ve makinenize erişimleri var. Belki şimdi yükseltmiş olmanıza rağmen birileri daha önce almıştır. Sadece çok fazla ihtiyatlı düşünüyorum, kritikliği göz önüne alındığında, onu değiştirmek daha iyi. ”
“Bir numaralı tavsiyem sadece bir donanım cüzdanı almanızdır” diye devam etti.
Nasıl oldu
Güvenlik açığı, javascript programlama dilinde, bazen bir kullanıcının gizli kurtarma ifadesinin belirli bir süre boyunca kullanıcının yerel belleğinde saklanmasına yol açan tuhaflık (tam olarak ne kadar süre bilinmez ve cihaza göre değişiklik gösterebilir).
Bir kullanıcı bu ifadeyi güvenliği ihlal edilmiş veya başka bir şekilde güvenilmeyen bir cihaza girerse, saldırgan tam olarak biliyorsa bunu bellekten hızlıca kaydırabilirdi. nereye bakmalı (veya daha büyük olasılıkla, görev için özel bir araca sahipti).
Gizli bir kurtarma ifadesi – aynı zamanda başlangıç ifadesi veya anımsatıcı ifade olarak da adlandırılır – kullanıcıların bir akıllı cüzdan kurduklarında aldıkları 12 kelimelik bir dizidir ve kullanıcıların cüzdanlarını kurtarmaları veya yeni bir cihaza kurmaları gerektiğinde bir ana anahtar görevi görür.
Bir kişinin gizli kurtarma ifadesi kötü niyetli birinin eline geçerse, kişinin fonlarının tam kontrolünü ele geçirmek için kullanılabilir.
MetaMask, hatadan Temmuz 2021’de haberdar edildi ve bu yılın Mart ayında bir yama yayınladı. Phantom, hatayı Eylül 2021’de öğrendi ve Ocak ile Nisan 2022 arasında sorunu çözmek için birkaç yama yayınladı.
Şimdi Yerinizi Kaydedin
%5,51
%9,76
%5,91
2,33
%0,04
Tüm Fiyatları Görüntüle
Ethereum’un evrimini ve kripto pazarları üzerindeki etkisini anlatan haftalık bültenimiz Valid Points’e kaydolun.