AMAS:安全指南:如何防御MetaMask浏览器钱包漏洞?

原文标题:《一文了解如何免受MetaMask浏览器钱包安全漏洞的影响》

注:北京时间6月16日凌晨,ConsenSys开发者DanFinlay?披露了MetaMask浏览器扩展钱包存在的安全漏洞,这可能导致一小部分用户的钱包资金面临被盗风险,对此问题,他给出了一些安全建议。

Halborn的研究人员发现了一种情况,即在极少数情况下可以在磁盘上发现未加密的用户密钥,该问题已经在10.11.3版本的MetaMask浏览器扩展钱包以及更高版本的钱包中得到了修复。

背景

Halborn的安全研究人员披露了一个实例,在某种情况下,可以从被攻击的计算机磁盘中提取MetaMask等Web钱包使用的助记词短语。

加密货币税务公司TaxNodes完成160万美元融资:6月14日消息,加密货币税务公司TaxNodes完成160万美元种子轮融资,ZebPay首席执行官Rahul Pagidipati、Shardeum首席执行官Nischal Shetty、Coin Switch和Ajeet联合创始人兼首席执行官Ashish Singhal、Reflexical的创始人Khurana等参投。

TaxNodes旨在简化加密货币税务计算过程并满足个人税务合规性要求,可以在遵守KYC和AML条件下收集跨链、跨交易平台和钱包等渠道的加密货币交易并自动生成税务信息。[2023/6/14 21:36:44]

以下内容不会影响MetaMask移动端钱包用户,而只会影响一小部分MetaMask浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施,因此对于10.11.3版本以及更高版本的MetaMask浏览器扩展钱包用户来说,这些不应该是问题。注意,如果以下三个条件都适用于你,那你的钱包可能会面临风险,你应该阅读以下内容了解后续步骤:

机构:美联储的行动是另一种形式的QE并且脱离剧本:金色财经报道,研究机构Bianco总裁James Bianco表示,美联储的行动是另一种形式的量化宽松,完全脱离了新冠和2008年金融危机时的剧本。再加上创纪录的贴现窗口借款和资产负债表的扩张,美联储正在变得越来越宽松。预计未来只有两种情况会发生,一种是美国当局行动太慢,另一种是“金融危机”恶化。如果当局行动迅速,足以遏制危机,大规模的刺激措施意味着在2023年下半年和2024年到来,美国将出现更严重的通胀问题。最好的选择是每个客户都自己决定把数千亿美元的存款转回地区性银行。而只要资金不断流出地区性银行,就永远只有糟糕和更糟糕的选择。[2023/3/20 13:14:08]

你的硬盘未加密;你已经将助记词短语导入到设备上的MetaMask浏览器扩展钱包中,而该设备由你不信任的人拥有,或者你的计算机已经被黑。在导入过程中,你使用了「显示助记词短语」复选框在屏幕上查看你的助记词。

Nomad发布“复苏之路”计划,将重启跨链桥和分配回收资金:8月18日消息,跨链互操作性协议Nomad发布了“复苏之路”计划,将重启跨链桥和分配回收资金。

具体而言,复苏之路需要分三个阶段实现:1、正在进行中的资金回收,预计将未来几个月。2、跨链桥升级,预计9月中下旬完成。3、跨链桥重启以及分配回收资金,按第2阶段的完成时间待定。

据悉,此前Nomad被黑客攻击损失1.9亿美元,目前已挽回3570万美元。[2022/8/18 12:33:27]

影响

这会影响:

1、我们测试过的所有桌面操作系统以及浏览器;

Zipmex从8月11日允许客户提取0.08个ETH:金色财经报道,加密货币交易所Zipmex7月20日停止客户提款,从8月11日开始允许客户访问和提取多达0.08个ETH代币,在撰写本文时价值约153美元。该公司会将ETH代币从用户用于赚取利息和奖金的Z钱包转移到用于交易和提款的Trade钱包。然后,客户可以将以太坊代币提取到他们的私人钱包中。该公司还将允许用户从8月16日起提取0.0045BTC,在撰写本文时价值约111美元。代币同样会从Z钱包转移到Trade钱包。Zipmex在其声明中说:我们将继续致力于逐步完成所有客户资产的转移,并加快所有行动以恢复ZWallet的全面服务。(cryptoslate)[2022/8/12 12:19:37]

2、我们使用GoogleChrome、Chromium和Firefox浏览器在Windows、macOS和Linux上进行了测试;

3、所有浏览器版本上的所有版本MetaMask扩展钱包。

但这个漏洞不会影响MetaMask移动端钱包。

助记词短语最终会被清除,但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入MetaMask后不久,设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件,那那些有权访问你计算机的人,就可能会拿到你的助记词短语,因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南,使用任何第三方迁移工具都需要自行承担风险。

注意,可以物理访问你的计算机的人或恶意软件可能会利用此漏洞进行攻击,而如果你的设备受到恶意软件的攻击,那有些攻击是无法进行防御的。

如果你认为自己容易受到该攻击的影响

如果你的计算机有可能受到你不信任的人的影响,我们建议你在系统上启用「全磁盘加密」。此外,如果你的资金是由一个硬件钱包管理,那你不会受到该漏洞的影响。

受影响的用户应考虑将资金从旧钱包账户转移到新的钱包账户地址。

本文档的其余部分将提供一些额外的详细信息,以及有关如何最好地保护你的钱包安全的建议。稍后,我们将披露有关问题性质的更多细节,以便其他软件开发人员可以自己避免这些问题,但目前我们会先提醒用户,以最大程度地降低盗窃风险。

我有多安全?

如上文所述,如果你的计算机受到了威胁,你都无法确定在该计算机上运行的任何程序的安全性。

这是流行的密码管理器1Password团队已经承认并讨论过的问题,1Password的首席安全架构师JeffreyGoldberg解释过要解决该问题的困难之处,他说:

「这是一个众所周知的问题,之前该问题已经被公开讨论过很多次,但任何看似合理的解决方案都可能比问题本身更糟糕。」

如果你使用的是密码管理器,那么你可能会比不使用密码管理器的人更安全一些,但即使是用了密码管理器,也无法避免漏洞问题。

结论

最终我们了解到,我们的密码加密功能的安全性,部分会受到浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了其威胁模型,而我们当前的钱包是建立在浏览器之上的,因此事实证明,减少这种攻击面的规模需要耗费大量人力,而且可能无法完全消除这种攻击。最终,很可能只有「全磁盘加密」才能为你的计算机提供强大的物理计算机访问安全性。

一般来说,计算机/浏览器等应该在某种程度上暂时或永久地存储文本输入。然而,由于保护你的助记词短语的安全性有多么重要,因此需要注意此特定场景,以便用户可以采取相应的行动。

幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现,只有在非常特定的情况下才能提取助记词短语,并且我们已经能够在Halborn等待披露的时间段内引入新的保护措施,并且我们计划实施更多的保护措施,以进一步降低这种风险。这意味着如果你不使用自己的钱包,锁定钱包仍然是一个好习惯。

一些重要的事:

1、请花点时间在你的计算机上启用全盘加密。这是确保你的计算机不会被具有物理访问权限的人提取其所有内容的唯一方法。我们还建议用户使用硬件钱包作为额外的安全措施。

2、清除你的浏览器缓存数据

3、请记住,确保计算机安全是你的责任,如果运行它的系统受到威胁,任何钱包或软件都无法保证自身的安全,花点时间学习如何让计算机避免恶意软件。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:62ms0-1:481ms