Június 15-én több kriptopénztárcát kínáló cég – valamint a kizsákmányolásért felelős cybersec cég – bejelentette a böngészőbővítményre épülő pénztárcákat érintő biztonsági probléma létezését és későbbi javítását.
A „Demonic” kódnevű sebezhetőséget a Halborn biztonsági kutatói fedezték fel, akik tavaly megkeresték az érintett cégeket. Most nyilvánosságra hozták megállapításaikat, lehetővé téve az érintett feleknek, hogy előzetesen kijavítsák a problémát a végfelhasználók kárának korlátozása érdekében.
Metamask, xDEFI, Brave és Phantom Affected
A Demonic exploit – hivatalos nevén CVE-2022-32969 – eredetileg felfedezett Halborn 2021 májusában. Ez a BIP39 emlékeztető segítségével érintette a pénztárcákat, lehetővé téve, hogy rossz szereplők távolról vagy kompromittált eszközök használatával elkapják a helyreállítási kifejezéseket, ami végül a pénztárca ellenséges átvételéhez vezetett.
A kizsákmányoláshoz azonban egy nagyon konkrét eseménysorozatra volt szükség.
Kezdetben ez a probléma nem érintette a mobileszközöket. Csak a titkosítatlan asztali eszközöket használó pénztárcatulajdonosok voltak sebezhetőek – nekik pedig importálniuk kellett volna a titkos helyreállítási kifejezést egy feltört eszközről. Végül a „Show Secret Recovery Phrase” opciót kellett volna használni.
Halborn jelentős biztonsági jutalmat kap tőle @MetaMask a Critical Discovery számára
Felfedtünk egy kritikus biztonsági rést, amely érinti @MetaMask, @Bátor, @Fantom, @xdefi_wallet, és más böngésző alapú kriptopénztárcák – Egy rövid a sebezhetőségről és a védekezés módjáról magatok:- Halborn (@HalbornSecurity) Június 15, 2022
Halbornt azonnal kinyúlt a kizsákmányolás által veszélyeztetettnek talált négy vállalatnak, és megkezdődött a titokban végzett munka a probléma megoldásán, mielőtt a feketekalapos hackerek felfedezhették volna.
„A sérülékenység súlyossága és az érintett felhasználók száma miatt a technikai részleteket bizalmasan kezeltük mindaddig, amíg jóhiszeműen nem sikerült kapcsolatba lépni az érintett pénztárca-szolgáltatókkal.
Most, hogy a pénztárca-szolgáltatóknak lehetőségük volt orvosolni a problémát, és áttelepíteni a felhasználókat a biztonságos helyreállítási kifejezésekre, a Halborn mélyreható részletekkel hívja fel a figyelmet a sebezhetőségre, és segít megelőzni a hasonlókat a jövőben.”
A probléma megoldva, az ébereket megjutalmazták
A metamask fejlesztője, Dan Finlay közzétett egy blogbejegyzés, amely arra ösztönzi a felhasználókat, hogy frissítsenek a pénztárca legújabb verziójára, hogy részesülhessenek a javítás előnyeiből, ami semmissé teszi a problémát. Finlay arra is kérte őket, hogy figyeljenek általánosságban a biztonságra, folyamatosan titkosítva tartsák az eszközöket.
A blogbejegyzés azt is bejelentette, hogy 50 1 dollárt fizetnek ki Halbornnak a sebezhetőség felfedezéséért a Metamask hibajavító programjának részeként, amely a súlyosságtól függően 50 XNUMX és XNUMX XNUMX dollár közötti összegeket fizet ki.
A Phantom közleményt is kiadott az ügyben, megerősítve a sebezhetőséget 2022 áprilisára javították felhasználói számára. A vállalat Oussama Amrit – a Halborn felfedezésének szakértőjét – is üdvözölte a Phantom kibersegéd csapatában.
1/ 2022 áprilisától a Phantom-felhasználók védettek a kripto-böngésző-bővítmények „Demonic” kritikus sebezhetősége ellen.
A jövő héten egy újabb kimerítő javítás jelenik meg, amelyről úgy gondoljuk, hogy elkészül @Fantom a legbiztonságosabb a „Demonic”-tól az iparágban. https://t.co/bKE1olpzng
- Phantom (@phantom) Június 15, 2022
Minden érintett fél felszólította az érintett felhasználókat, hogy bizonyosodjanak meg arról, hogy a pénztárca legújabb verziójára frissítettek, és minden további probléma esetén forduljanak a megfelelő biztonsági csapatokhoz.
- Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
- CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
- Forrás: https://cryptopotato.com/demonic-vulnerability-affecting-crypto-wallets-patched-by-metamask-brave-phantom/
- "
- 2021
- 2022
- a
- További
- érint
- érintő
- Minden termék
- lehetővé téve
- bejelentés
- április
- figyelem
- tudatosság
- előtt
- kezdődött
- haszon
- között
- Fekete
- Blog
- bátor
- böngésző
- Bogár
- Companies
- vállalat
- az érintett
- kapcsolat
- tudott
- kritikai
- crypto
- kripto pénztárcák
- attól
- asztali
- részletek
- Dev
- eszköz
- Eszközök
- DID
- felfedezett
- felfedezés
- erőfeszítés
- események
- szakértő
- Exploit
- hasznosítja
- kiterjesztések
- megtalálása
- Cég
- Rögzít
- talált
- ból ből
- jövő
- általános
- jó
- hackerek
- tekintettel
- magasság
- segít
- Hogyan
- How To
- azonban
- HTTPS
- ipar
- részt
- kérdés
- kérdések
- IT
- tartás
- legutolsó
- vezető
- LIMIT
- készült
- fontos
- csinál
- Anyag
- metamaszk
- Mobil
- mobil eszközök
- következő
- szám
- Alkalom
- opció
- érdekében
- Más
- tulajdonosok
- rész
- Tapasz
- Foltozás
- Fizet
- fantom
- kifejezés
- Program
- védelme
- védett
- szolgáltatók
- amely
- nyilvános
- emel
- el
- felépülés
- kutatók
- felelős
- biztonság
- biztonság
- számos
- rövid
- hasonló
- különleges
- kezdet
- nyilatkozat
- csapat
- csapat
- Műszaki
- A
- alkalommal
- Frissítések
- Felhasználók
- változat
- sebezhetőség
- Sebezhető
- W
- pénztárca
- Pénztárcák
- hét
- üdvözölte
- WHO
- Munka
- lenne
- év