Halborn研究人員發現了一個問題:極少數情況下,可以在硬盤上找到未加密的用戶私匙,該問題已在10.11.3及更高版本的MetaMask瀏覽器擴展錢包中得到修復
背景
Halborn安全研究人員披露了一個實例,發現在某些條件下,可以從入侵的電腦硬盤中提取MetaMask等網頁錢包的助記詞。以下內容不會影響MetaMask 移動端錢包用戶,但會影響一小部分MetaMask瀏覽器擴展錢包用戶及其他瀏覽器/插件錢包用戶。這會使一些用戶面臨風險。了解該問題后,MetaMask已實施補救措施,目前對于使用10.11.3 及更高版本的MetaMask瀏覽器擴展錢包用戶,風險已經解除。但如果您滿足以下3個條件,仍可能面臨風險,請閱讀下文,采取后續步驟:
l 硬盤未加密
動態 | Morgan Creek創始人轉發特朗普推文并稱比特幣僅今年就上漲了122%:金色財經報道,美國總統特朗普發布推文稱,納斯達克僅今年就上漲了27% !Morgan Creek創始人Anthony?Pompliano轉發推文并表示,僅今年比特幣就上漲了122%!VanEck董事Gabor Gurbacs回復道,當比特幣在納斯達克上市的時候呢?等一下,有人正在做ETF。[2019/11/20]
l 您將助記詞導入了某個不信任的人的設備的MetaMask插件程序中,或者個人電腦已被入侵
l 導入過程中,您曾打開“顯示助記詞”選項,在屏幕上查看助記詞。(如圖所示)
動態 | Block.one CEO BB轉發分析文章暗示瑞波存在數據造假:據Newsbtc數據分析報道,瑞波輿論大軍包括上千個機器人及8000個虛假Twitter賬號,目的是操控Twitter上大眾的輿論。Block.one CEO BrendanBlumer轉發該文稱:“區塊鏈的使命是體現輿論內容的真實性并承擔相應的社會責任。”[2019/3/21]
影響
這會影響到:
l 我們測試過的所有桌面操作系統和瀏覽器。
l 我們使用了Google Chrome、Chromium和火狐瀏覽器在Windows、macOS和Linux上進行了測試。
l 所有瀏覽器版本上的所有MetaMask插件錢包(v10.11.3之前)。
動態 | CSW轉發John McAfee力挺吳忌寒推特 稱其是個騙子:11月15日消息,CSW剛才轉發John McAfee力挺吳忌寒的推特表示:“提醒大家,John McAfee是個騙子。不要忘記幾個月前,‘不可破解’的零安全錢包事件。”據此前報道,John McAfee曾宣稱Bitfi錢包無法被黑客攻擊,但Bitfi錢包曾兩次被安全研究人員入侵。[2018/11/15]
l MetaMask 移動端錢包不受影響。
助記詞最終會被清除,但我們目前無法保證何時清除。
該漏洞最有可能影響到將助記詞導入MetaMask后不久,其設備就被入侵或被盜的用戶。
如果您滿足所有上述條件,那么能訪問您導入助記詞的電腦的人就有可能獲得您的助記詞,您最好將資金從相關帳戶中遷移出去,以確保安全。我們在此提供了一份遷移賬戶資金指南,使用任何第三方遷移工具都需要您自擔風險。
轉發公告:關于小米鏈處理方式的聲明[2017/9/5]
無論是可以直接使用還是通過惡意軟件控制您的設備的人都可以利用此漏洞。而如果設備已被惡意軟件入侵,您還可能面臨許多其他我們無法防御的攻擊(如鍵盤記錄器、直接訪問內存、控制程序等)。
如果認為自己面臨風險
如果有不信任的人可以使用您的電腦,我們建議您啟用全硬盤加密。而如果您的資金由硬件錢包管理,您將不受影響。
受影響的用戶應考慮將資金從使用相關助記詞生成的舊錢包賬戶轉移至由新助記詞生成的新賬戶。我們提供了一份指南來幫助有需要的用戶執行此操作,并給出了可簡化該流程的軟件選擇。
下文將提供更多詳情,以及關于如何最好地保障錢包安全的建議。稍后我們將披露有關該問題性質的更多細節,以幫助其他軟件開發人員避免這些問題。但目前,我們首先要-提醒用戶,以最大程度地降低盜竊風險。
我的安全性如何?
如上文所述,如果一臺電腦被入侵(能被他人使用或被惡意軟件入侵),您將無法保障其中運行的任何程序的安全。
流行的密碼管理器1Password團隊探討過這個問題。1Password首席安全架構師Jeffrey Goldberg解釋了解決該問題的難度:“這個問題廣為人知,并已被公開討論過多次,但任何看似合理的補救方案都可能會成事不足敗事有余。”
使用密碼管理器可能比不使用要安全,但也難以完全避免這一問題的影響。
結論
MetaMask最終發現,密碼加密功能的部分安全性受到了瀏覽器行為的破壞。由于瀏覽器本身認為物理訪問攻擊(他人訪問相關設備)超出了威脅模型范疇,而錢包是建立在瀏覽器之上的,因此要縮減這種攻擊面需要耗費大量人力,即便如此也難以完全消除風險。說到底,可能只有全硬盤加密才能為電腦提供強大的抵御物理訪問攻擊的安全性。
這是您本該預期的風險嗎?這取決于您是否認為可以在硬盤上恢復助記詞。如果您認為自己的電腦需要時刻保持安全,那么應該沒問題。但如果您認為MetaMask密碼能保證只要無法使用您電腦的人就無法提取您的帳戶,恐怕就說不準了。
從更高的層面上,我們應該普遍預期計算機、瀏覽器等都會多多少少存儲輸入的文本內容,不論是暫時的還是永久的。鑒于保護助記詞的重要性,我們需要對這個具體場景引起注意,以便讓用戶采取相應的行動。
幸運的是,密碼似乎仍然提供了一定程度的安全性。我們發現助記詞只有在非常特定的情況下才可能被提取出來。在Halborn等待披露的這段時間內,我們已經引入了新的保護措施,并計劃實施更多措施。MetaMask將繼續引入更多安全機制,以進一步降低風險。這意味著當您不使用錢包(或將電腦交給他人)時,給錢包上鎖仍是一個好習慣。
1. 為電腦啟用全硬盤加密。這是保障對您的電腦有物理訪問權限的人無法提取所有內容的唯一方法。我們也建議使用硬件錢包提供額外的安全保障。
2. 清除瀏覽器緩存(我們的研究表明這樣做能在某些情況下幫到某些用戶)
3. 請牢記,確保電腦安全是您的責任。如果電腦系統被入侵,任何錢包或軟件都無法保證安全。請花時間學習如何避免電腦被植入病。
MetaMask要感謝Halborn團隊負責任地披露這一漏洞,并感謝他們為保護加密空間付出的所有辛勤工作。為這一發現向Halborn授予了5萬美元獎金。
撰文:Dan Finlay,MetaMask
翻譯:王爾玉、PANews
Tags:AMASTAMATAMMASKMetaMask安卓安裝包metamask手機版下載metamask最新版本下載
撰文:Kevin Schwartz,David Adlerstein 編譯:Dewei 雖然最近加密資產市場將注意力集中在穩定幣、做市和即將實施的監管的未來輪廓上.
1900/1/1 0:00:00在 Optimism 價值不菲的空投之外,還有占據初始代幣總供應量 5.4%(約 2.3 億枚)的代幣分配給了治理基金,分成了階段 0 和階段 1 兩個階段.
1900/1/1 0:00:00根據?Trail of Bits?的說法,分布式賬本技術?(DLT)?和包括比特幣和以太坊在內的區塊鏈可能比最初想象的更容易受到中心化風險的影響.
1900/1/1 0:00:00譯者注:本文通過列舉現實世界中貨幣掛鉤歷史的失敗案例,科普了加密貨幣穩定幣的類型,進一步分析探討穩定幣尤其算法穩定幣的風險所在。文章內容僅代表作者觀點,譯文不構成投資建議.
1900/1/1 0:00:00加密貨幣冬天——相當于華爾街熊市的加密貨幣——已經到來。雖然金融專家有一個特定的基準來定義熊市,這意味著股票從最高價下跌了 20%,但加密冬天的定義并不那么具體.
1900/1/1 0:00:00近日,福建省發布了《福建省清理整頓各類交易場所工作小組關于防范NFT違規風險的提示函》(以下簡稱《提示函》),作出“不得未經批準從事NFT交易、不得違規變相參與NFT活動”等四條提示.
1900/1/1 0:00:00