热门加密货币热钱包提供商MetaMask和Phantom(Solana生态)16日披露,他们最近已修补了一个安全漏洞。该漏洞源于Javascript中某个问题,可能导致助记词在内存中储存一段时间,使攻击者有机从未加密的硬盘上获取助记词,从而控制受害用户加密资产和NFT。
该漏洞由区块链安全公司Halborn在去年5月发现,据《Coindesk》说法,Halborn除了MetaMask和Phantom,已通知至少10个其他基于浏览器扩充的钱包提供商。
部分钱包已修复漏洞
Halborn确认目前已修复此漏洞的钱包包括MetaMask、Phantom、Brave和xDefi。
Phantom今日公告,他们在2021年9月了解到该漏洞,在今年4月全面修补了该漏洞。同时补充,将在下周推出另一个重要的安全修补程序。
MetaMask则表示,使用行动装置应用程序的用户不受影响,但包括MetaMask在内的许多浏览器钱包中的一小部分用户会面临安全风险,团队已在三月发布的MetaMask扩充版本10.11.3中修复该漏洞,因此对于使用此版本及更新版本的用户来说,这些应该不构成问题。
团队进一步解释,如果符合以下三个条件,才会增加攻击者获取助记词的可能性:
1.硬盘未加密
2.将注记词导入已被黑的电脑或是有你不信任的人。
3.在导入时使用了显示助记词功能
建议将资产转移到新钱包地址
MetaMask建议,如果用户符合上述所有条件,那么用户需要考虑从这些钱包账户中转移资金以确保安全。同时提供迁移账户资金的指南,并表示使用任何第三方迁移工具必须由您自担风险。
团队后续进一步建议如用户担心资产受影响,可考量在系统上启用硬盘加密,并使用硬件钱包管理资产。
而因通报该漏洞而从MetaMask获得了50,000美元赏金的Halborn,其共同创办人Steve Walbroehl向《Coindesk》表示,仍建议大多数用户转移到新的钱包地址。
“考虑到这件事已经存在了很长时间,你不知道哪时可能会被利用。也许你点击了一封错误的网络钓鱼邮件,使攻击者可以访问你的电脑。即使你现在已经升级,也可能有人以前使用过它。我只是出于谨慎考虑,鉴于其重要性,最好是改变它钱包地址。我的首要建议是买一个硬件钱包。”