- A vulnerabilidade descoberta expõe frases secretas de recuperação dos usuários da carteira do navegador
- Os provedores de carteira afetados foram contatados e a vulnerabilidade foi mantida confidencial até que os problemas de segurança fossem corrigidos
Várias carteiras criptográficas populares baseadas em navegador são vulneráveis a hackers sob certas condições, de acordo com uma nova pesquisa.
A empresa de segurança Blockchain Halborn encontrou vários casos em que carteiras, incluindo Brave, MetaMask e Phantom, podem ser comprometidas sob condições específicas de computador – acrescentando mais um problema aos comerciantes que ainda se recuperam dos recentes hacks de finanças descentralizadas (DeFi) de alto perfil.
As condições podem expor a frase secreta de recuperação de um usuário de carteira criptográfica (uma série de palavras geradas que dão ao proprietário acesso à sua criptografia), que pode então ser usada para alterar sua chave privada. Ao todo, bilhões de dólares em ativos digitais estão armazenados em carteiras de software.
Os provedores de carteira afetados foram contatados e a vulnerabilidade foi mantida em segredo até que os problemas de segurança fossem corrigidos.
Quem é afetado?
Os usuários que atendem às seguintes condições podem estar em risco:
- Usuários que possuem discos rígidos não criptografados
- Usuários que importaram anteriormente sua frase secreta de recuperação para uma extensão da Web em um dispositivo que está em posse de outra pessoa ou que tiveram seu computador comprometido
- Usuários que usaram a caixa de seleção “mostrar frase secreta de recuperação” para visualizar sua frase secreta de recuperação na tela durante o processo de importação
Carteiras de criptomoedas como as afetadas por esta vulnerabilidade, como a Metamask, são carteiras de autocustódia – o que significa que somente os usuários são responsáveis por proteger suas chaves privadas.
“Bolsas como Coinbase ou Binance geralmente detêm a custódia dessas chaves em nome de seus clientes”, disse Steven Walbroehl, diretor de segurança e cofundador da Halborn, à Blockworks.
“Esse impacto é apenas para aqueles que auto-custódia desses ativos, e é responsabilidade dos usuários levar isso a sério, atualizar as carteiras para a versão corrigida listada nos sites do desenvolvedor da carteira e alternar sua frase mnemônica se acharem que pode estar em risco”, disse Walbroehl.
MetaMask tem perguntou os usuários atualizem suas versões de extensão para 10.11.3 e posteriores e “reservem um tempo para habilitar a criptografia completa de disco nos computadores”.
Ecoando Walbroehl, Dan Finlay, fundador e gerente de grupo da MetaMask escreveu em seu blog que os usuários devem “lembrar que é sua responsabilidade manter seu computador seguro. Nenhuma carteira ou software pode manter-se seguro se o sistema em que é executado estiver comprometido. Reserve um tempo para aprender como evitar a instalação de vírus em seu computador.”
Enquanto isso, Phantom escreveu em um no blog que para se protegerem na Web3, além das medidas gerais de segurança na Internet, os usuários devem diversificar suas carteiras para minimizar o risco e usar carteiras de hardware para armazenar grandes quantidades de ativos e moedas.
“Outras mitigações incluem o armazenamento da frase/chave mnemônica em uma carteira baseada em hardware como Trezor ou Ledger. Essas carteiras ainda funcionam com carteiras de software como Metamask quando conectadas fisicamente por meio de um cabo USB… mas protegem as chaves de invasores que possam acessar seu disco”, disse Walbroehl.
Halborn foi recompensado com US$ 50,000. Os fornecedores de carteiras não retornaram imediatamente os pedidos de comentários.
Receba as principais notícias e informações sobre criptografia do dia em sua caixa de entrada todas as noites. Assine o boletim informativo gratuito da Blockworks !
O posto Ameaça de segurança exposta para carteiras de criptografia baseadas em navegador apareceu pela primeira vez em blocos.
- "
- 000
- 10
- 11
- a
- Acesso
- Segundo
- Todos os Produtos
- quantidades
- Outro
- Ativos
- bilhões
- binário
- Blog
- bravo
- navegador
- certo
- chainalysis
- alterar
- chefe
- Co-fundador
- coinbase
- computador
- computadores
- condições
- conectado
- Crime
- cripto
- Crypto News
- Carteira criptográfica
- carteiras de cripto
- moedas
- Custódia
- Clientes
- Descentralizada
- Finanças descentralizadas
- DeFi
- entregue
- dispositivo
- DID
- digital
- Ativos Digitais
- descoberto
- dólares
- durante
- permitir
- criptografia
- noite
- exposto
- financiar
- Empresa
- Primeiro nome
- seguinte
- encontrado
- fundador
- Gratuito
- da
- cheio
- Geral
- Grupo
- hacker
- hacks
- Hardware
- Carteiras de Hardware
- destaques
- segurar
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- imediatamente
- Impacto
- incluir
- Incluindo
- insights
- Internet
- questões
- IT
- se
- Guarda
- Chave
- chaves
- grande
- APRENDER
- Ledger
- Listado
- Gerente
- significado
- medidas
- MetaMask
- notícias
- número
- Oficial
- proprietário
- fantasma
- Fisicamente
- Popular
- posse
- privado
- chave privada
- Chaves Privadas
- proteger
- fornecedores
- recentemente
- recuperação
- pedidos
- pesquisa
- responsabilidade
- responsável
- retorno
- recompensado
- Risco
- seguro
- Segurança
- Dito
- seguro
- segurança
- Série
- vários
- Software
- Alguém
- específico
- Ainda
- loja
- .
- A
- tempo
- topo
- Traders
- Trezor
- para
- Atualizar
- usb
- usar
- usuários
- geralmente
- versão
- Ver
- vírus
- vulnerabilidade
- Vulnerável
- Wallet
- Carteiras
- web
- Web3
- sites
- QUEM
- palavras
- Atividades:
- investimentos
