في الخامس عشر من يونيو ، أعلنت العديد من الشركات التي تقدم محافظ العملات المشفرة - وكذلك شركة الأمن السيبراني المسؤولة عن اكتشاف الثغرات - عن وجود مشكلة أمنية وتصحيحها لاحقًا تؤثر على المحافظ القائمة على امتداد المتصفح.
تم اكتشاف الثغرة الأمنية ، التي تحمل الاسم الرمزي "Demonic" ، من قبل الباحثين الأمنيين في Halborn ، الذين تواصلوا مع الشركات المتضررة العام الماضي. لقد أعلنوا الآن عن النتائج التي توصلوا إليها ، بعد أن سمحوا للأطراف المتضررة بإصلاح المشكلة مسبقًا في محاولة للحد من الضرر الذي يلحق بالمستخدمين النهائيين.
تتأثر Metamask و xDEFI و Brave و Phantom
الاستغلال الشيطاني - المسمى رسميًا CVE-2022-32969 - كان في الأصل اكتشف بواسطة Halborn مرة أخرى في مايو 2021. لقد أثر ذلك على المحافظ التي تستخدم فن الإستذكار BIP39 ، مما سمح باعتراض عبارات الاسترداد من قبل الجهات الفاعلة السيئة عن بعد أو باستخدام أجهزة مخترقة ، مما أدى في النهاية إلى استيلاء عدائي على المحفظة.
ومع ذلك ، فإن الاستغلال احتاج إلى تسلسل محدد للغاية للأحداث.
للبدء ، لم تؤثر هذه المشكلة على الأجهزة المحمولة. كان أصحاب المحفظة الذين يستخدمون أجهزة سطح المكتب غير المشفرة فقط عرضة للخطر - وكان عليهم استيراد عبارة الاسترداد السرية من جهاز مخترق. أخيرًا ، كان لا بد من استخدام خيار "إظهار عبارة الاسترداد السرية".
هالبورن يتلقى مكافأة أمنية كبيرة من تضمين التغريدة للاكتشاف النقدي
لقد كشفنا عن ثغرة خطيرة تؤثر على تضمين التغريدة, تضمين التغريدة, @شبح, تضمين التغريدةومحافظ التشفير الأخرى المستندة إلى المتصفح – اختصار حول الضعف وكيفية الحماية أنفسكم:- هالبورن (HalbornSecurity) 15 حزيران، 2022
هالبورن على الفور توصل للشركات الأربع التي تبين أنها مهددة بالاستغلال ، وبدأ العمل سرًا لإصلاح المشكلة قبل أن يكتشفها قراصنة القبعة السوداء.
"نظرًا لخطورة الثغرة الأمنية وعدد المستخدمين المتأثرين ، تم الحفاظ على سرية التفاصيل الفنية حتى يمكن بذل جهد حسن النية للاتصال بمزودي المحفظة المتأثرين.
الآن بعد أن أتيحت لموفري المحفظة الفرصة لإصلاح المشكلة وترحيل مستخدميهم لتأمين عبارات الاسترداد ، تقدم Halborn تفاصيل متعمقة لزيادة الوعي بالثغرة الأمنية والمساعدة في منع مثل تلك الثغرات في المستقبل ".
تم حل المشكلة ، تمت مكافأة الحراس
Metamask ديف دان فينلي نشرت منشور مدونة يحث المستخدمين على التحديث إلى أحدث إصدار من المحفظة للاستفادة من التصحيح ، الذي يلغي المشكلة. طلب منهم Finlay أيضًا الانتباه إلى الأمان بشكل عام ، مع الحفاظ على تشفير الأجهزة في جميع الأوقات.
أعلن منشور المدونة أيضًا عن دفع مبلغ 50 ألف دولار إلى Halborn لاكتشاف الثغرة الأمنية كجزء من برنامج Metamask's bug bounty ، والذي يدفع مبالغ تتراوح بين ألف دولار و 1 ألف دولار ، اعتمادًا على شدتها.
كما أصدرت فانتوم بيانًا بهذا الشأن ، مؤكدا تم تصحيح الثغرة الأمنية لمستخدميها بحلول أبريل 2022. كما رحبت الشركة بأسامة عمري - الخبير الذي يقف وراء اكتشاف هالبورن - في فريق Phantom الإلكتروني.
1 / اعتبارًا من أبريل 2022 ، أصبح مستخدمو Phantom محميين من الثغرة الخطيرة "Demonic" في ملحقات مستعرض التشفير.
يتم طرح تصحيح شامل آخر الأسبوع المقبل نعتقد أنه سيتم تنفيذه @شبح الأكثر أمانًا من "Demonic" في الصناعة. https://t.co/bKE1olpzng
- فانتوم (phantom) 15 حزيران، 2022
حثت جميع الأطراف المعنية المستخدمين المعنيين على التأكد من قيامهم بالترقية إلى أحدث إصدار من المحفظة والتواصل مع فرق الأمان المعنية بشأن أي مشكلات إضافية.
- "
- 2021
- 2022
- a
- إضافي
- تؤثر
- تؤثر
- الكل
- السماح
- أعلن
- ابريل
- اهتمام
- وعي
- قبل
- بدأ
- تستفيد
- ما بين
- اسود
- المدونة
- الشجعان
- المتصفح
- علة
- الشركات
- حول الشركة
- قلق
- التواصل
- استطاع
- حرج
- التشفير
- محافظ تشفير
- اعتمادا
- سطح المكتب
- تفاصيل
- ديف
- جهاز
- الأجهزة
- فعل
- اكتشف
- اكتشاف
- جهد
- أحداث
- خبير
- استغلال
- مآثر
- اضافات المتصفح
- العثور على
- شركة
- حل
- وجدت
- تبدأ من
- مستقبل
- العلاجات العامة
- خير
- قراصنة
- وجود
- ارتفاع
- مساعدة
- كيفية
- كيفية
- لكن
- HTTPS
- العالمية
- المشاركة
- قضية
- مسائل
- IT
- حفظ
- آخر
- قيادة
- مما سيحدث
- صنع
- رائد
- جعل
- أمر
- MetaMask
- الجوال
- أجهزة محمولة
- التالي
- عدد
- الفرصة
- خيار
- طلب
- أخرى
- أصحاب
- جزء
- بقعة
- الترقيع
- وهمي
- عبارات
- البرنامج
- حماية
- محمي
- مقدمي
- توفير
- جمهور
- رفع
- الوصول
- استرجاع
- الباحثين
- مسؤول
- تأمين
- أمن
- عدة
- قصير
- مماثل
- محدد
- بداية
- ملخص الحساب
- فريق
- فريق
- تقني
- •
- مرات
- أو تويتر
- تحديث
- المستخدمين
- الإصدار
- الضعف
- الضعيفة
- W
- محفظة
- محافظ
- أسبوع
- رحب
- من الذى
- للعمل
- سوف
- عام