一文瞭解如何免受 MetaMask 瀏覽器錢包安全漏洞的影響

原文作者:DeFi 之道|隔夜的粥

註:北京時間 6 月 16 日凌晨,ConsenSys 開發者 Dan Finlay 披露了 MetaMask 瀏覽器擴展錢包存在的安全漏洞,這可能導致一小部分用戶的錢包資金面臨被盜風險,對此問題,他給出了一些安全建議。

Halborn 的研究人員發現了一種情況,即在極少數情況下可以在磁盤上發現未加密的用戶密鑰,該問題已經在 10.11.3 版本的 MetaMask 瀏覽器擴展錢包以及更高版本的錢包中得到了修復。

背景

Halborn 的安全研究人員披露了一個實例,在某種情況下,可以從被攻擊的電腦磁盤中提取 MetaMask 等 Web 錢包使用的助記詞短語。以下內容不會影響 MetaMask 移動端錢包用戶,而只會影響一小部分 MetaMask 瀏覽器擴展用戶以及其他瀏覽器 / 擴展錢包用戶。我們已經針對這些問題實施了緩解措施,因此對於 10.11.3 版本以及更高版本的 MetaMask 瀏覽器擴展錢包用戶來說,這些不應該是問題。注意,如果以下三個條件都適用於你,那你的錢包可能會面臨風險,你應該閱讀以下內容瞭解後續步驟:

  1. 你的硬盤未加密;
  2. 你已經將助記詞短語導入到設備上的 MetaMask 瀏覽器擴展錢包中,而該設備由你不信任的人擁有,或者你的計算機已經被黑。
  3. 在導入過程中,你使用了「顯示助記詞短語」(Show Secret Recovery Phrase)複選框在螢幕上查看你的助記詞。(如下圖)

影響

這會影響:

  1. 我們測試過的所有桌面操作系統以及瀏覽器;
  2. 我們使用 Google Chrome、Chromium 和 Firefox 瀏覽器在 Windows、macOS 和 Linux 上進行了測試;
  3. 所有瀏覽器版本上的所有版本 MetaMask 擴展(v10.11.3 之前)錢包。

    但這個漏洞不會影響 MetaMask 移動端錢包。
    助記詞短語最終會被清除,但我們目前無法保證何時清除。
    該漏洞最有可能影響那些在將助記詞導入 MetaMask 後不久,設備就遭到入侵或被盜的用戶。

如果你符合上述的所有條件,那那些有權訪問你計算機的人,就可能會拿到你的助記詞短語,因此你可能需要考慮從這些賬戶中將資金轉移出去以確保安全。我們準備了一份遷移帳戶資金的指南,使用任何第三方遷移工具都需要自行承擔風險。

注意,可以物理訪問你電腦的人或惡意軟件可能會利用此漏洞進行攻擊,而如果你的設備受到惡意軟件的攻擊,那有些攻擊是無法進行防禦的(例如:鍵盤記錄器、直接內存訪問和程式控制)。

如果你認為自己容易受到該攻擊的影響

如果你的電腦有可能受到你不信任的人的影響,我們建議你在系統上啓用「全磁盤加密」。此外,如果你的資金是由一個硬件錢包管理,那你不會受到該漏洞的影響。

受影響的用戶應考慮將資金從舊錢包帳戶轉移到新的錢包帳戶地址。

本文檔的其餘部分將提供一些額外的詳細資訊,以及有關如何最好地保護你的錢包安全的建議。稍後,我們將披露有關問題性質的更多細節,以便其他軟件開發人員可以自己避免這些問題,但目前我們會先提醒用戶,以最大程度地降低盜竊風險。

我有多安全?

如上文所述,如果你的電腦受到了威脅(無論是物理威脅還是惡意軟件),你都無法確定在該電腦上運行的任何程序的安全性。

這是流行的密碼管理器 1 Password 團隊已經承認並討論過的問題,1 Password 的首席安全架構師 Jeffrey Goldberg 解釋過要解決該問題的困難之處,他說:

「這是一個眾所周知的問題,之前該問題已經被公開討論過很多次,但任何看似合理的解決方案都可能比問題本身更糟糕。」

如果你使用的是密碼管理器,那麼你可能會比不使用密碼管理器的人更安全一些,但即使是用了密碼管理器,也無法避免漏洞問題。

延伸閱讀:《 Metamask 必看錢包操作教學,註冊、交易及連結 Polygon 鏈、BSC 幣安智能鏈》

結論

最終我們瞭解到,我們的密碼加密功能的安全性,部分會受到瀏覽器行為的破壞。由於瀏覽器本身認為物理訪問攻擊超出了其威脅模型,而我們當前的錢包是建立在瀏覽器之上的,因此事實證明,減少這種攻擊面的規模需要耗費大量人力,而且可能無法完全消除這種攻擊。最終,很可能只有「全磁盤加密」才能為你的電腦提供強大的物理計算機訪問安全性。

一般來說,電腦 / 瀏覽器等應該在某種程度上暫時或永久地存儲文本輸入。然而,由於保護你的助記詞短語的安全性有多麼重要,因此需要注意此特定場景,以便用戶可以採取相應的行動。

幸運的是,密碼似乎仍然提供了一定程度的安全性。我們發現,只有在非常特定的情況下才能提取助記詞短語,並且我們已經能夠在 Halborn 等待披露的時間段內引入新的保護措施,並且我們計劃實施更多的保護措施,以進一步降低這種風險。這意味著如果你不使用自己的錢包(或將你的電腦交給其他人),鎖定錢包仍然是一個好習慣。

一些重要的事:

  1. 請花點時間在你的電腦上啓用全盤加密。這是確保你的電腦不會被具有物理訪問權限的人提取其所有內容的唯一方法。我們還建議用戶使用硬件錢包作為額外的安全措施。
  2. 清除你的瀏覽器緩存數據(我們的研究表明,這在某些情況下可能對某些用戶有所幫助)
  3. 請記住,確保電腦安全是你的責任,如果運行它的系統受到威脅,任何錢包或軟件都無法保證自身的安全,花點時間學習如何讓電腦避免惡意軟件。

以下是一些確保不同操作系統安全的指南:

  1. Windows
  2. Mac
  3. iOS
  4. Android
  5. Linux

最後,我們要感謝 Halborn 的團隊負責任地披露這一點,並感謝他們為保護這個行業所做的所有辛勤工作,我們為 Halborn 的發現授予了 5 萬美元的獎金。

本文不構成投資建議,虛擬貨幣波動大請謹慎小心

掌握虛擬貨幣、區塊鏈大小事

發表迴響