Sikkerhedstrussel udsat for browserbaserede kryptopunge

En række populære browserbaserede krypto-punge er sårbare over for hacking under visse forhold, ifølge ny forskning. 

Blockchain-sikkerhedsfirmaet Halborn fandt flere tilfælde, hvor tegnebøger, inklusive Brave, MetaMask og Phantom, kan blive kompromitteret under specifikke computerforhold - hvilket tilføjer endnu en rynke til handlende, der stadig er på jagt efter de seneste højprofilerede decentraliserede finans-hacks (DeFi). 

Betingelserne kan afsløre en crypto wallet-brugers hemmelige gendannelsessætning (en række ord genereret, som giver ejeren adgang til deres crypto), som derefter kan bruges til at ændre deres private nøgle. Alt i alt er milliarder af dollars af digitale aktiver gemt i softwarepunge. 

Berørte tegnebogsudbydere blev kontaktet, og sårbarheden blev holdt skjult, indtil sikkerhedsproblemerne blev afhjulpet.

Hvem er berørt? 

Brugere, der opfylder følgende betingelser, kan være i fare:

• Brugere, der har ukrypterede harddiske
• Brugere, der tidligere har importeret deres hemmelige gendannelsessætning til en webudvidelse på en enhed, der er i en andens besiddelse eller har fået deres computer kompromitteret
• Brugere, der har brugt afkrydsningsfeltet "vis hemmelig gendannelsessætning" for at se deres hemmelige gendannelsessætning på skærmen under importprocessen

Cryptocurrency tegnebøger som dem, der er påvirket af denne sårbarhed, såsom Metamask, er en selvforvaltende tegnebog - hvilket betyder, at brugere alene er ansvarlige for at beskytte deres private nøgler. 

"Børser som Coinbase eller Binance har normalt forældremyndigheden over disse nøgler på vegne af deres kunder," sagde Steven Walbroehl, Halborns sikkerhedschef og medstifter, til Blockworks.

"Denne påvirkning er kun for dem, der selv varetager disse aktiver, og det er brugernes ansvar at tage det seriøst, opgradere tegnebøgerne til den lappede version, der er opført på tegnebogsudviklerens websteder, og at rotere deres mnemoniske sætning, hvis de tror, ​​det kan være i fare,” sagde Walbroehl. 

MetaMask har spurgte brugere til at opdatere deres udvidelsesversioner til 10.11.3 og nyere og til at "tage sig tid til at aktivere fuld diskkryptering på computere."

Ekko Walbroehl, Dan Finlay, grundlægger og gruppeleder hos MetaMask skrev i et blogindlæg at brugere skal "huske, at det er dit ansvar at holde din computer sikker. Ingen tegnebog eller software kan holde sig selv sikker, hvis systemet, den kører på, er kompromitteret. Tag dig tid til at lære, hvordan du undgår at installere en virus på din computer." 

Phantom skrev i mellemtiden i en blogindlæg at for at beskytte sig selv på Web3, udover generelle internetsikkerhedsforanstaltninger, bør brugere diversificere deres tegnebøger for at minimere risikoen og bruge hardware-punge til at opbevare store mængder aktiver og valutaer.

"Andre afhjælpninger omfatter lagring af den mnemoniske sætning/nøgle på en hardware-baseret tegnebog som Trezor eller Ledger. Disse tegnebøger fungerer stadig med software-punge som Metamask, når de er fysisk forbundet via et USB-kabel ... men det beskytter nøglerne mod angribere, der kan få adgang til din disk," sagde Walbroehl.

Halborn er blevet belønnet $50,000. Tegnebogsudbyderne returnerede ikke umiddelbart anmodninger om kommentarer.

Få dagens bedste kryptonyheder og -indsigter leveret til din indbakke hver aften. Tilmeld dig Blockworks' gratis nyhedsbrev nu.

Stillingen Sikkerhedstrussel udsat for browserbaserede kryptopunge dukkede først på Blokværk.

• Coinsmart. Europas bedste Bitcoin og Crypto Exchange.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. FRI ADGANG.
• CryptoHawk. Altcoin radar. Gratis prøveversion.
• Kilde: https://blockworks.co/security-threat-exposed-for-browser-based-crypto-wallets/