Pada tanggal 15 Juni, beberapa perusahaan yang menyediakan dompet kripto – serta perusahaan cybersec yang bertanggung jawab untuk menemukan eksploitasi – mengumumkan keberadaan dan penambalan berikutnya dari masalah keamanan yang memengaruhi dompet berbasis ekstensi browser.
Kerentanan, dengan nama kode "Demonic," ditemukan oleh peneliti keamanan di Halborn, yang mendekati perusahaan yang terkena dampak tahun lalu. Mereka sekarang telah mengumumkan temuan mereka, setelah mengizinkan pihak yang terkena dampak untuk memperbaiki masalah sebelumnya dalam upaya untuk membatasi kerusakan pada pengguna akhir.
Metamask, xDEFI, Brave, dan Phantom Terkena
Eksploitasi Iblis – secara resmi bernama CVE-2022-32969 – awalnya ditemukan oleh Halborn pada Mei 2021. Ini memengaruhi dompet menggunakan mnemonik BIP39, memungkinkan frasa pemulihan dicegat oleh aktor jahat dari jarak jauh atau menggunakan perangkat yang disusupi, yang pada akhirnya mengarah pada pengambilalihan dompet yang tidak bersahabat.
Namun, eksploitasi membutuhkan urutan peristiwa yang sangat spesifik untuk terjadi.
Untuk memulai, masalah ini tidak memengaruhi perangkat seluler. Hanya pemilik dompet yang menggunakan perangkat desktop tidak terenkripsi yang rentan – dan mereka harus mengimpor frasa pemulihan rahasia dari perangkat yang disusupi. Terakhir, opsi "Tampilkan Frase Pemulihan Rahasia" harus digunakan.
Halborn Menerima Hadiah Keamanan Utama dari @Bayu_joo untuk Penemuan Kritis
Kami mengungkapkan kerentanan kritis yang mempengaruhi @Bayu_joo, @Berani, @Hantu, @xdefi_wallet, dan dompet kripto berbasis browser lainnya – Singkat tentang kerentanan dan cara melindungi dirimu sendiri:— Halborn (@HalbornSecurity) Juni 15, 2022
Halborn segera mengulurkan tangan ke empat perusahaan yang ditemukan terancam oleh eksploitasi, dan pekerjaan dimulai secara rahasia untuk memperbaiki masalah sebelum dapat ditemukan oleh peretas topi hitam.
“Karena tingkat keparahan kerentanan dan jumlah pengguna yang terkena dampak, detail teknis dirahasiakan sampai upaya itikad baik dapat dilakukan untuk menghubungi penyedia dompet yang terpengaruh.
Sekarang penyedia dompet memiliki kesempatan untuk memperbaiki masalah dan memigrasikan penggunanya untuk mengamankan frase pemulihan, Halborn memberikan rincian mendalam untuk meningkatkan kesadaran akan kerentanan dan membantu mencegah yang serupa di masa depan.
Masalah Terpecahkan, Penjaga Dihadiahi
Pengembang Metamask Dan Finlay diterbitkan sebuah posting blog yang mendesak pengguna untuk memperbarui ke versi dompet terbaru untuk mendapatkan manfaat dari tambalan, yang meniadakan masalah. Finlay juga meminta mereka untuk memperhatikan keamanan secara umum, menjaga perangkat tetap terenkripsi setiap saat.
Posting blog juga mengumumkan pembayaran $50k kepada Halborn untuk penemuan kerentanan sebagai bagian dari program bug bounty Metamask, yang membayar antara $1k dan $50k, tergantung pada tingkat keparahannya.
Phantom juga mengeluarkan pernyataan tentang masalah ini, mengkonfirmasikan kerentanan ditambal untuk penggunanya pada April 2022. Perusahaan juga menyambut Oussama Amri – ahli di balik penemuan Halborn – ke tim cybersec Phantom.
1/ Mulai April 2022, pengguna Phantom dilindungi dari kerentanan kritis "Iblis" dalam ekstensi peramban kripto.
Patch lengkap lainnya akan diluncurkan minggu depan yang kami yakini akan berhasil @Hantu yang paling aman dari "Demonic" di industri. https://t.co/bKE1olpzng
— Hantu (@hantu) Juni 15, 2022
Semua pihak yang terlibat mendesak pengguna terkait untuk memastikan mereka telah meningkatkan versi dompet ke versi terbaru dan menghubungi tim keamanan masing-masing untuk masalah tambahan apa pun.
- "
- 2021
- 2022
- a
- Tambahan
- mempengaruhi
- mempengaruhi
- Semua
- Membiarkan
- mengumumkan
- April
- perhatian
- kesadaran
- sebelum
- mulai
- manfaat
- antara
- Black
- Blog
- berani
- Browser
- Bug
- Perusahaan
- perusahaan
- prihatin
- kontak
- bisa
- kritis
- kripto
- dompet crypto
- Tergantung
- Desktop
- rincian
- dev
- alat
- Devices
- MELAKUKAN
- ditemukan
- penemuan
- usaha
- peristiwa
- ahli
- Mengeksploitasi
- eksploitasi
- ekstensi
- temuan
- Perusahaan
- Memperbaiki
- ditemukan
- dari
- masa depan
- Umum
- baik
- hacker
- memiliki
- tinggi
- membantu
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- industri
- terlibat
- isu
- masalah
- IT
- pemeliharaan
- Terbaru
- terkemuka
- MEMBATASI
- terbuat
- utama
- membuat
- hal
- MetaMask
- mobil
- telepon genggam
- berikutnya
- jumlah
- Kesempatan
- pilihan
- urutan
- Lainnya
- pemilik
- bagian
- tambalan
- Menambal
- Membayar
- hantu
- frase
- program
- melindungi
- terlindung
- penyedia
- menyediakan
- publik
- menaikkan
- mencapai
- pemulihan
- peneliti
- tanggung jawab
- aman
- keamanan
- beberapa
- Pendek
- mirip
- tertentu
- awal
- Pernyataan
- tim
- tim
- Teknis
- Grafik
- kali
- Memperbarui
- Pengguna
- versi
- kerentanan
- Rentan
- W
- dompet
- Wallet
- minggu
- menyambut
- SIAPA
- Kerja
- akan
- tahun