Lỗ hổng MetaMask này có thể gây nguy hiểm cho người dùngKênh Bit

Lỗ hổng MetaMask này có thể gây nguy hiểm cho người dùng

Nhà cung cấp ví tiền điện tử MetaMask đã báo cáo một lỗ hổng có thể ảnh hưởng đến người dùng của họ. Được phát hiện bởi công ty bảo mật blockchain Halborn, lỗ hổng bảo mật có thể cho phép kẻ xấu chiếm hữu cụm từ khôi phục bí mật của người dùng.

Lỗ hổng này ảnh hưởng đến một số ví tiền điện tử trên web và cho phép kẻ tấn công trích xuất cụm từ khôi phục bí mật từ máy tính cá nhân. Như đã đề cập, lỗ hổng bảo mật không ảnh hưởng đến tất cả người dùng MetaMask, nhưng một phần rất nhỏ.

Điều này là do người dùng sẽ cần phải đáp ứng 3 điều kiện để có thể bị tấn công này: sử dụng ổ cứng không được mã hóa, người dùng sẽ phải nhập cụm từ khôi phục bí mật từ tiện ích mở rộng web MetaMask vào thiết bị bị xâm nhập hoặc sử dụng tiện ích mở rộng ví tiền điện tử từ một máy tính không an toàn và sử dụng hộp kiểm “hiển thị cụm từ khôi phục bí mật” trong quá trình nhập.

Nhà cung cấp ví tiền điện tử đã chuẩn bị một hướng dẫn di chuyển để hỗ trợ người dùng chuyển tiền của họ vào một ví mới. Theo nghĩa đó, công ty đã khuyến nghị những người dùng đáp ứng các điều kiện này và những người dùng tin rằng có thể đáp ứng được các điều kiện đó, hãy làm theo hướng dẫn.

Người dùng có ý định chuyển sang ví mới phải có đủ tiền để thanh toán phí gas cần thiết, nhà cung cấp ví cho biết. Các khoản phí này có thể “trở nên đắt đỏ” tùy thuộc vào số tiền của người dùng và các hợp đồng thông minh “lưu trữ hoặc quản lý những tài sản đó”.

Nội dung theo tiêu chuẩn Ethereum ETC-20, ERC-721 (NFTs) và ERC-1155 nên được ưu tiên. Nhà cung cấp ví đã cảnh báo:

Nếu tài khoản của bạn đã bị xâm phạm, có thể bạn đã bị đặt một bot quét trên tài khoản của mình. Nếu đúng như vậy, thì ngay sau khi bạn chuyển các mã thông báo vào, chúng có thể được chuyển đến địa chỉ của kẻ tấn công.

Quỹ MetaMask của bạn có an toàn không?

Như MetaMask đã làm rõ, lỗ hổng bảo mật không ảnh hưởng đến người dùng di động của họ mà chỉ ảnh hưởng đến người dùng trên macOS, Linux và Windows sử dụng trình duyệt web dựa trên Google Chrome, Firefox hoặc Chromium. Công ty đã thực hiện “giảm thiểu” cho lỗ hổng bảo mật này.

Theo nghĩa đó, tất cả người dùng được yêu cầu cập nhật ví tiền điện tử của họ lên phiên bản 10.11.3. Người dùng cũng được khuyến khích liên hệ với Bộ phận hỗ trợ MetaMask để được hỗ trợ hoặc cung cấp thêm thông tin.

Công ty đã thưởng cho Halborn một khoản tiền thưởng 50.000 đô la. Hai ngày trước, ví tiền điện tử được cung cấp đã khởi chạy một chương trình tiền thưởng có tên là HackerOne để “làm việc với cộng đồng bảo mật để tìm ra các lỗ hổng trong ví và vượt qua các mối đe dọa từ Web3”.

Chương trình được khởi chạy với 4 bậc bảo mật với các mức tiền thưởng khác nhau. Những người phát hiện bảo mật thấp sẽ được trả tổng cộng 1.000 đô la, trung bình 2.000 đô la, 15.000 đô la cao và nghiêm trọng, như lỗ hổng được mô tả ở trên, sẽ được trả 50.000 đô la cho bất kỳ phát hiện nào.