15 Haziran'da, kripto cüzdanları sağlayan birkaç şirket ve ayrıca açıklardan yararlanmalardan sorumlu siber güvenlik firması, tarayıcı uzantısı tabanlı cüzdanları etkileyen bir güvenlik sorununun varlığını ve ardından yama yapıldığını duyurdu.
"Şeytani" kod adlı güvenlik açığı, geçen yıl etkilenen şirketlere yaklaşan Halborn'daki güvenlik araştırmacıları tarafından keşfedildi. Etkilenen tarafların, son kullanıcılara verilen zararı sınırlamak amacıyla sorunu önceden çözmelerine izin vererek, şimdi bulgularını halka açtılar.
Metamask, xDEFI, Brave ve Phantom Etkilenen
Resmen CVE-2022-32969 olarak adlandırılan Demonic istismar, başlangıçta keşfetti Halborn tarafından Mayıs 2021'de yayınlandı. BIP39 anımsatıcılarını kullanan cüzdanları etkileyerek, kurtarma ifadelerinin kötü aktörler tarafından uzaktan veya güvenliği ihlal edilmiş cihazlar kullanılarak ele geçirilmesine izin vererek, sonuçta cüzdanın düşmanca ele geçirilmesine yol açtı.
Bununla birlikte, istismarın gerçekleşmesi için çok özel bir olay dizisine ihtiyacı vardı.
Başlangıç olarak, bu sorun mobil cihazları etkilemedi. Yalnızca şifrelenmemiş masaüstü cihazları kullanan cüzdan sahipleri savunmasızdı ve güvenliği ihlal edilmiş bir cihazdan gizli kurtarma ifadesini içe aktarmak zorunda kalacaklardı. Son olarak, “Gizli Kurtarma İfadesini Göster” seçeneğinin kullanılması gerekirdi.
Halborn, Büyük Güvenlik Ödülü Aldı @MetaMask Kritik Keşif için
etkileyen kritik bir güvenlik açığını açıkladık. @MetaMask, @Cesur, @Hayalet, @xdefi_cüzdanve diğer tarayıcı tabanlı kripto cüzdanlar – Kısa bir güvenlik açığı ve nasıl korunacağı hakkında kendiniz:— Halborn (@HalbornSecurity) Haziran 15, 2022
Halborn derhal ulaştı istismar tarafından tehlikede olduğu tespit edilen dört şirkete ve siyah şapka korsanları tarafından keşfedilmeden önce sorunu çözmek için gizlice çalışmaya başladı.
"Açıklığın ciddiyeti ve etkilenen kullanıcıların sayısı nedeniyle, teknik ayrıntılar, etkilenen cüzdan sağlayıcılarıyla iletişim kurmak için iyi niyetli bir çaba gösterilene kadar gizli tutuldu.
Cüzdan sağlayıcıları artık sorunu çözme ve kullanıcılarını güvenli kurtarma ifadelerine geçirme fırsatına sahip olduklarına göre Halborn, güvenlik açığı konusunda farkındalığı artırmak ve gelecekte benzerlerini önlemeye yardımcı olmak için ayrıntılı ayrıntılar sağlıyor.”
Sorun Çözüldü, Kanunsuzlar Ödüllendirildi
Metamask geliştiricisi Dan Finlay yayınlanan Sorunu ortadan kaldıran yamadan yararlanmak için kullanıcıları cüzdanın en son sürümüne güncellemeye çağıran bir blog yazısı. Finlay ayrıca genel olarak güvenliğe dikkat etmelerini ve cihazları her zaman şifreli tutmalarını istedi.
Blog gönderisi ayrıca, Metamask'ın önem derecesine bağlı olarak 50 bin ila 1 bin dolar arasında ödeme yapan hata ödül programının bir parçası olarak güvenlik açığının keşfedilmesi için Halborn'a 50 bin dolar ödeneceğini duyurdu.
Phantom da konuyla ilgili bir açıklama yaptı, teyit güvenlik açığı kullanıcıları için Nisan 2022'ye kadar düzeltildi. Şirket ayrıca, Halborn'un keşfinin arkasındaki uzman olan Oussama Amri'yi Phantom'un siber güvenlik ekibine davet etti.
1/ Nisan 2022 itibariyle, Phantom kullanıcıları kripto tarayıcı uzantılarındaki “Şeytani” kritik güvenlik açığından korunmaktadır.
Bir başka kapsamlı yama, önümüzdeki hafta çıkacağına inandığımız @Hayalet sektördeki “Şeytani” den en güvenlisi. https://t.co/bKE1olpzng
— Hayalet (@hayalet) Haziran 15, 2022
İlgili tüm taraflar, ilgili kullanıcıları cüzdanın en son sürümüne yükselttiklerinden emin olmaya ve herhangi bir ek sorun için ilgili güvenlik ekiplerine ulaşmaya çağırdı.
- "
- 2021
- 2022
- a
- Ek
- etkiler
- etkileyen
- Türkiye
- Izin
- açıkladı
- Nisan
- Dikkat
- farkındalık
- önce
- başladı
- yarar
- arasında
- Siyah
- Blog
- cesur
- tarayıcı
- Böcek
- Şirketler
- şirket
- ilgili
- UAF ile
- olabilir
- kritik
- kripto
- kripto cüzdanlar
- bağlı
- masaüstü
- ayrıntılar
- dev
- cihaz
- Cihaz
- DID
- keşfetti
- keşif
- çaba
- olaylar
- uzman
- sömürmek
- patlatır
- uzantıları
- bulma
- Firma
- sabit
- bulundu
- itibaren
- gelecek
- genel
- Tercih Etmenizin
- hackerlar
- sahip olan
- yükseklik
- yardım et
- Ne kadar
- Nasıl Yapılır
- Ancak
- HTTPS
- sanayi
- ilgili
- konu
- sorunlar
- IT
- koruma
- son
- önemli
- LİMİT
- yapılmış
- büyük
- yapmak
- Mesele
- MetaMask
- Telefon
- mobil cihazlar
- sonraki
- numara
- Fırsat
- seçenek
- sipariş
- Diğer
- sahipleri
- Bölüm
- Patch
- Yama
- fantom
- ifadeler
- Programı
- korumak
- korumalı
- sağlayıcılar
- sağlama
- halka açık
- yükseltmek
- ulaşmak
- kurtarma
- Araştırmacılar
- sorumlu
- güvenli
- güvenlik
- birkaç
- kısa
- benzer
- özel
- başlama
- Açıklama
- takım
- takım
- Teknik
- The
- zamanlar
- Güncelleme
- kullanıcılar
- versiyon
- güvenlik açığı
- Savunmasız
- W
- Cüzdan
- Cüzdan
- hafta
- memnuniyetle
- DSÖ
- İş
- olur
- yıl