15 червня кілька компаній, що надають крипто-гаманці, а також кіберсекретарська компанія, відповідальна за пошук експлойтів, оголосили про існування та подальше виправлення проблеми безпеки, яка впливає на гаманці на основі розширення браузера.
Уразливість під кодовою назвою «Demonic» була виявлена дослідниками безпеки з Halborn, які торік звернулися до постраждалих компаній. Тепер вони оприлюднили свої висновки, дозволивши постраждалим сторонам виправити проблему заздалегідь, щоб обмежити шкоду для кінцевих користувачів.
Metamask, xDEFI, Brave і Phantom Affected
Експлойт Demonic – офіційно названий CVE-2022-32969 – спочатку був відкритий від Halborn ще в травні 2021 року. Це вплинуло на гаманці, які використовували мнемоніку BIP39, дозволяючи зловмисникам дистанційно перехоплювати фрази відновлення або за допомогою скомпрометованих пристроїв, що в кінцевому підсумку призвело до ворожого захоплення гаманця.
Однак, для експлойту потрібна була дуже конкретна послідовність подій.
Для початку ця проблема не торкнулася мобільних пристроїв. Лише власники гаманців, які використовують незашифровані настільні пристрої, були вразливими – і їм довелося б імпортувати секретну фразу відновлення зі зламаного пристрою. Нарешті, потрібно було б використовувати опцію «Показати секретну фразу відновлення».
Халборн отримує велику винагороду за безпеку від @MetaMask для критичного відкриття
Ми виявили критичну вразливість, яка впливає @MetaMask, @Храба, @Пантом, @xdefi_walletта інші криптогаманці на основі браузера – коротко про вразливість і способи захисту себе:— Халборн (@HalbornSecurity) 15 Червня, 2022.
Халборн негайно потягнувся чотирьом компаніям, які перебувають під загрозою через експлойт, і розпочалася таємна робота, щоб вирішити проблему, перш ніж її могли виявити хакери.
«Через серйозність уразливості та кількості постраждалих користувачів, технічні деталі залишалися конфіденційними, доки не було зроблено добросовісних зусиль, щоб зв’язатися з ураженими постачальниками гаманців.
Тепер, коли постачальники гаманців отримали можливість усунути проблему та перевести своїх користувачів на безпечні фрази відновлення, Halborn надає детальні відомості, щоб підвищити обізнаність про вразливість і допомогти запобігти подібним у майбутньому».
Питання вирішено, пильники нагороджені
Розробник Metamask Ден Фінлей опублікований публікація в блозі, яка закликає користувачів оновити гаманець до останньої версії, щоб отримати вигоду від виправлення, яке зводить нанівець проблему. Фінлей також попросив їх звернути увагу на безпеку в цілому, зберігаючи пристрої завжди зашифрованими.
Повідомлення в блозі також оголосило про виплату 50 тис. доларів Халборну за виявлення вразливості в рамках програми відшкодування помилок Metamask, яка виплачує суми від 1 до 50 тис. доларів, залежно від серйозності.
Phantom також оприлюднив заяву з цього приводу, підтверджуючий уразливість було виправлено для своїх користувачів до квітня 2022 року. Компанія також привітала Уссаму Амрі – експерта, який стоїть за відкриттям Халборна – до команди Phantom із кіберсекції.
1/ Станом на квітень 2022 року користувачі Phantom захищені від критичної вразливості «Demonic» у розширеннях криптобраузера.
Наступного тижня виходить ще один вичерпний патч, який, на нашу думку, вийде @Пантом найбезпечніший від «Demonic» в галузі. https://t.co/bKE1olpzng
- Фантом (@phantom) 15 Червня, 2022.
Усі залучені сторони закликали зацікавлених користувачів переконатися, що вони оновили гаманець до останньої версії, і звернутися до відповідних команд безпеки щодо будь-яких додаткових проблем.
- Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
- CryptoHawk. Альткойн Радар. Безкоштовне випробування.
- Джерело: https://cryptopotato.com/demonic-vulnerability-affecting-crypto-wallets-patched-by-metamask-brave-phantom/
- "
- 2021
- 2022
- a
- Додатковий
- впливати
- зачіпає
- ВСІ
- Дозволити
- оголошений
- квітня
- увагу
- обізнаність
- перед тим
- почалася
- користь
- між
- Black
- Блог
- хоробрий
- браузер
- Помилка
- Компанії
- компанія
- стурбований
- контакт
- може
- критичний
- крипто
- криптографічні гаманці
- Залежно
- робочий стіл
- деталі
- DEV
- пристрій
- прилади
- DID
- відкритий
- відкриття
- зусилля
- Події
- експерт
- Експлуатувати
- подвигів
- Розширення
- виявлення
- Фірма
- виправляти
- знайдений
- від
- майбутнє
- Загальне
- добре
- хакери
- має
- висота
- допомога
- Як
- How To
- Однак
- HTTPS
- промисловість
- залучений
- питання
- питання
- IT
- зберігання
- останній
- провідний
- МЕЖА
- made
- основний
- зробити
- Матерія
- MetaMask
- Mobile
- мобільні пристрої
- наступний
- номер
- Можливість
- варіант
- порядок
- Інше
- Власники
- частина
- пластир
- Виправлення
- Платити
- фантом
- фрази
- програма
- захист
- захищений
- провайдери
- забезпечення
- громадськість
- підвищення
- досягати
- відновлення
- Дослідники
- відповідальний
- безпечний
- безпеку
- кілька
- Короткий
- аналогічний
- конкретний
- старт
- Заява
- команда
- команди
- технічний
- Команда
- times
- Оновити
- користувачі
- версія
- вразливість
- Вразливий
- W
- Wallet
- Гаманці
- week
- вітав
- ВООЗ
- Work
- б
- рік