欧易OKX交易所注册(20%交易返佣福利):https://www.okx.com/join/8581013
币安交易所注册(20%手续费减免福利):https://www.binance.com/zh-CN/register?ref=38069452
2022中国大陆用户注册币安方法(含KYC认证流程):https://www.youtube.com/watch?v=Yw0JMHWX0no
6 月 15 日,几家提供加密钱包的公司以及负责发现漏洞的网络安全公司宣布存在影响基于浏览器扩展的钱包的安全问题并随后对其进行修补。
这个代号为“恶魔”的漏洞是由 Halborn 的安全研究人员发现的,他们于去年接触了受影响的公司。他们现在已经公开了他们的调查结果,允许受影响的各方提前解决问题,以限制对最终用户的损害。
Metamask、xDEFI、Brave 和 Phantom Affected
恶魔漏洞——正式名称为 CVE-2022-32969——最初是 Halborn 早在 2021 年 5 月就发现了。它使用 BIP39 助记符影响了钱包,允许不良行为者远程拦截恢复短语或使用受感染的设备,最终导致对钱包的恶意收购。 然而,该漏洞利用需要非常特定的事件序列才能发生。
首先,此问题不影响移动设备。只有使用未加密桌面设备的钱包所有者才容易受到攻击——他们必须从受感染的设备中导入秘密恢复短语。最后,必须使用“显示秘密恢复短语”选项。
⚠Halborn 从 @MetaMask a> 用于关键发现⚠ 我们披露了一个影响 @MetaMask 的严重漏洞,@Brave, @Phantom, @xdefi_wallet 和其他基于浏览器的加密钱包 – 关于漏洞的简短🧵以及如何保护🔐自己: p>
——Halborn (@HalbornSecurity) 六月2022 年 1 月 15 日
Halborn 及时 联系了 发现受到该漏洞利用威胁的四家公司,并开始秘密工作以解决该问题,以免被黑帽黑客发现。
“由于漏洞的严重性和受影响用户的数量,技术细节一直保密,直到可以真诚地联系受影响的钱包提供商。
既然钱包提供商已经有机会修复该问题并将其用户迁移到安全恢复短语,Halborn 正在提供深入的详细信息,以提高对该漏洞的认识并帮助防止将来出现类似的漏洞。” p>
问题已解决,义警得到奖励
Metamask 开发者 Dan Finlay 发布了一篇博客文章,敦促用户更新到最新版本的钱包,以便从补丁中受益,从而消除了问题。 Finlay 还要求他们总体上注意安全性,始终保持设备加密。
博文还宣布向 Halborn 支付 5 万美元用于发现y 作为 Metamask 漏洞赏金计划的一部分,该漏洞根据严重程度支付 1000 美元到 50000 美元之间的金额。
Phantom 也对此事发表了声明,确认 该漏洞已于 2022 年 4 月为其用户修复。该公司还欢迎 Halborn 发现背后的专家 Oussama Amri 加入 Phantom 的网络安全团队。
1/ 自 2022 年 4 月起,Phantom 用户将免受加密浏览器扩展中的“恶魔”严重漏洞的影响。
另一个详尽的补丁将于下周推出,我们相信这将使 @Phantom 业内最安全的“恶魔”。 https://t.co/bKE1olpzng
——幻影 (@phantom) 六月2022 年 1 月 15 日
所有相关方都敦促相关用户确保他们已升级到最新版本的钱包,并与各自的安全团队联系以解决任何其他问题。
欧易OKX交易所注册(20%交易返佣福利):https://www.okx.com/join/8581013
币安交易所注册(20%手续费减免福利):https://www.binance.com/zh-CN/register?ref=38069452
2022中国大陆用户注册币安方法(含KYC认证流程):https://www.youtube.com/watch?v=Yw0JMHWX0no
没有评论: