15. juunil teatasid mitmed krüptorahakotte pakkuvad ettevõtted, samuti kübersekufirma, kes vastutab rünnakute leidmise eest, brauserilaienditel põhinevaid rahakotte mõjutava turvaprobleemi olemasolust ja hilisemast parandamisest.
Haavatavuse koodnimega "Deemonic" avastasid Halborni turvateadlased, kes pöördusid eelmisel aastal mõjutatud ettevõtete poole. Nüüd on nad oma järeldused avalikustanud, võimaldades mõjutatud osapooltel probleem eelnevalt lahendada, et piirata lõppkasutajatele tekitatud kahju.
Metamask, xDEFI, Brave ja Phantom Affected
Deemonlik ärakasutamine – ametliku nimega CVE-2022-32969 – oli algselt avastasin Halborn 2021. aasta mais. See mõjutas rahakotte, kasutades BIP39 mnemoonikat, võimaldades halbadel näitlejatel kaugjuhtimise teel taastefraase pealt kuulata või kasutada ohustatud seadmeid, mis viis lõpuks rahakoti vaenuliku ülevõtmiseni.
Kuid ärakasutamine vajas toimumiseks väga konkreetset sündmuste jada.
Alustuseks ei mõjutanud see probleem mobiilseadmeid. Ainult krüptimata töölauaseadmeid kasutanud rahakotiomanikud olid haavatavad – ja nad oleksid pidanud importima salajase taastefraasi ohustatud seadmest. Lõpuks oleks tulnud kasutada valikut „Näita salajase taastamise fraasi”.
Halborn saab peamist turvapreemiat @MetaMask Critical Discovery jaoks
Avalikustasime kriitilise haavatavuse, mis mõjutab @MetaMask, @Julge, @Phantom, @xdefi_walletja muud brauseripõhised krüptorahakotid – lühike haavatavuse ja kaitsmise kohta ise:- Halborn (@HalbornSecurity) Juuni 15, 2022
Halborn kohe ulatasid neljale ettevõttele, mis leiti olevat ärakasutamise tõttu ohustatud, ja algas salajane töö probleemi lahendamiseks, enne kui musta mütsi häkkerid selle avastasid.
"Haavatavuse tõsiduse ja mõjutatud kasutajate arvu tõttu hoiti tehnilisi üksikasju konfidentsiaalsena, kuni jõuti heauskselt ühendust võtta mõjutatud rahakoti pakkujatega.
Nüüd, kui rahakoti pakkujatel on olnud võimalus probleem lahendada ja oma kasutajad turvalistele taastamisfraasidele üle viia, pakub Halborn põhjalikke üksikasju, et tõsta teadlikkust haavatavusest ja aidata vältida sarnaseid juhtumeid tulevikus.
Probleem lahendatud, valvsad premeeritud
Metamaski arendaja Dan Finlay avaldatud ajaveebipostitus, mis kutsub kasutajaid üles värskendama rahakoti uusimale versioonile, et plaastrist kasu saada, mis tühistab probleemi. Finlay palus neil pöörata tähelepanu ka turvalisusele üldiselt, hoides seadmed kogu aeg krüpteerituna.
Blogipostituses teatati ka 50 1 dollari suurusest väljamaksest Halbornile haavatavuse avastamise eest Metamaski vigade eest tasumise programmi osana, mis maksab olenevalt raskusastmest 50 XNUMX–XNUMX XNUMX dollarit.
Phantom tegi selles küsimuses ka avalduse, kinnitades haavatavus parandati selle kasutajate jaoks 2022. aasta aprilliks. Ettevõte tervitas ka Oussama Amri – Halborni avastuse eksperdi – Phantomi küberseci meeskonda.
1/ Alates 2022. aasta aprillist on Phantomi kasutajad kaitstud krüptobrauseri laienduste "Deemonliku" kriitilise haavatavuse eest.
Järgmisel nädalal tuleb välja veel üks ammendav plaaster, mis meie arvates õnnestub @Phantom kõige turvalisem "Deemoni" jaoks selles valdkonnas. https://t.co/bKE1olpzng
- Phantom (@phantom) Juuni 15, 2022
Kõik asjaosalised kutsusid asjassepuutuvaid kasutajaid üles tagama, et nad on üle läinud rahakoti uusimale versioonile, ja pöörduma täiendavate probleemide korral vastavate turvameeskondade poole.
- Münditark. Euroopa parim Bitcoini ja krüptobörs.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. TASUTA PÄÄS.
- CryptoHawk. Altcoini radar. Tasuta prooviversioon.
- Allikas: https://cryptopotato.com/demonic-vulnerability-affecting-crypto-wallets-patched-by-metamask-brave-phantom/
- "
- 2021
- 2022
- a
- Täiendavad lisad
- mõjutada
- mõjutades
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- teatas
- Aprill
- tähelepanu
- teadlikkus
- enne
- hakkas
- kasu
- vahel
- Must
- Blogi
- julge
- brauseri
- Bug
- Ettevõtted
- ettevõte
- mures
- kontakt
- võiks
- kriitiline
- krüpto
- krüptorahakotid
- Olenevalt
- lauaarvuti
- detailid
- dev
- seade
- seadmed
- DID
- avastasin
- avastus
- jõupingutusi
- sündmused
- ekspert
- Ekspluateeri
- ärakasutamine
- laiendused
- leidmine
- Firma
- Määrama
- avastatud
- Alates
- tulevik
- Üldine
- hea
- häkkerid
- võttes
- kõrgus
- aitama
- Kuidas
- Kuidas
- aga
- HTTPS
- tööstus
- seotud
- probleem
- küsimustes
- IT
- pidamine
- hiljemalt
- juhtivate
- LIMIT
- tehtud
- peamine
- tegema
- küsimus
- MetaMask
- mobiilne
- mobiilseadmete
- järgmine
- number
- Võimalus
- valik
- et
- Muu
- omanikud
- osa
- Plaaster
- Lappimine
- Maksma
- fantoom
- fraasid
- Programm
- kaitsma
- kaitstud
- pakkujad
- pakkudes
- avalik
- tõstma
- jõudma
- taastumine
- Teadlased
- vastutav
- kindlustama
- turvalisus
- mitu
- Lühike
- sarnane
- konkreetse
- algus
- väljavõte
- meeskond
- meeskonnad
- Tehniline
- .
- korda
- puperdama
- Värskendused
- Kasutajad
- versioon
- haavatavus
- Haavatav
- W
- rahakott
- Rahakotid
- nädal
- tervitas
- WHO
- Töö
- oleks
- aasta