BLOCK:安全指南：如何防御MetaMask浏览器钱包漏洞？_BTC

原文标题：《一文了解如何免受MetaMask浏览器钱包安全漏洞的影响》

注：北京时间6月16日凌晨，ConsenSys开发者DanFinlay?披露了MetaMask浏览器扩展钱包存在的安全漏洞，这可能导致一小部分用户的钱包资金面临被盗风险，对此问题，他给出了一些安全建议。

Halborn的研究人员发现了一种情况，即在极少数情况下可以在磁盘上发现未加密的用户密钥，该问题已经在10.11.3版本的MetaMask浏览器扩展钱包以及更高版本的钱包中得到了修复。

背景

Halborn的安全研究人员披露了一个实例，在某种情况下，可以从被攻击的计算机磁盘中提取MetaMask等Web钱包使用的助记词短语。

金色财经挖矿数据播报：ETH今日全网算力上涨2.90%:金色财经报道，据蜘蛛矿池数据显示：

BTC全网算力161.830 EH/s，挖矿难度25.05T，目前区块高度684142，理论收益0.00000556/T/天。

ETH全网算力632.220TH/s，挖矿难度8234.67T，目前区块高度12462156，理论收益0.00354173/100MH/天。

BSV全网算力1.066EH/s，挖矿难度0.15T，目前区块高度687857，理论收益0.00084430/T/天。

BCH全网算力3.830EH/s，挖矿难度0.54T，目前区块高度688580，理论收益0.00023495/T/天。[2021/5/19 22:18:09]

以下内容不会影响MetaMask移动端钱包用户，而只会影响一小部分MetaMask浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施，因此对于10.11.3版本以及更高版本的MetaMask浏览器扩展钱包用户来说，这些不应该是问题。注意，如果以下三个条件都适用于你，那你的钱包可能会面临风险，你应该阅读以下内容了解后续步骤：

金色晚报 | 12月1日晚间重要动态一览:12:00-21:00关键词：Coinbase、以太坊2.0、灰度、以太坊网络难度

1. Coinbase声称MicroStrategy比特币4.25亿美元投资均通过其平台完成。

2. 以太坊2.0信标链主网正式启动。

3. 比特币大亨Jonathan Rowland竞购陷入困境的英国足球俱乐部Wigan Athletic。

4. 灰度董事总经理：机构资金流入表明比特币仍处于牛市早期。

5. 前二十名地址贡献了当前以太坊2.0抵押量的32.89%。

6. 数据：11月份USDT总发行量接近200亿美元。

7. YFI正式宣布与Sushiswap合作。

8. 新华社：比特币炒作风险陡增，回归区块链技术才是正途。

9. 以太坊网络难度达3616.42 TH创历史新高。[2020/12/1 22:46:27]

你的硬盘未加密；你已经将助记词短语导入到设备上的MetaMask浏览器扩展钱包中，而该设备由你不信任的人拥有，或者你的计算机已经被黑。在导入过程中，你使用了「显示助记词短语」复选框在屏幕上查看你的助记词。

金色晚报 | 5月22日晚间重要动态一览:12:00-21:00关键词：新基建、区块链产业、京东数科、漏洞攻击

1. 新基建写入2020年政府工作报告，包含区块链、云计算等新技术基础设施。

2. 摩根大通：央行数字货币对美国力量构成威胁。

3. 国际货币金融机构官方论坛宣布成立数字货币研究所。

4. 世界经济论坛发布《区块链权利法案》 获得哥伦比亚政府、德勤等签名。

5. 全国政协委员骆沙鸣：应将区块链产业纳入国家“十四五”规划。

6. 京东数科推出区块链企业级服务平台。

7. 路边矿池再次跻身矿池算力排行前五。

8. 慢雾：交易所或钱包对接以太坊(ETH)可能存在新型假充值漏洞攻击

9. 营业执照被暂扣 吴忌寒方寻求人大代表帮助。[2020/5/23]

金色相对论 | 黄连金 ：联盟链和公链需要代币作为激励提高交易后的清算和结算的效率:本期金色相对论中，对于无币区块链和有币区块链各自的优势及各自应用场景，核聚链创始人、NULS 技术顾问黄连金表示，一般纯粹进行区块链底层技术的研究，没有涉及具体应用场景，可能不需要币。一个公司内部的私有链可能也不需要币来做区块链。但是很多无币区块链的应用场景应该可以用传统的分布式数据库技术就能够解决。大部分联盟链和公链的应用场景都是需要一个激励机制把利益的不同方或者社区凝聚在一起，需要一种原生的代币或者通证来提高交易后的清算和结算的效率，并且需要通证经济模型来支撑区块链应用场景的生态系统。

有人说联盟链不需要币，其实大部分联盟链的项目没有激励机制，没有通证就是一盘散沙。在联盟链里引进代币或者通证，其好处是在联盟链的去中心化或者多中心化的生态系统引进代币或者通证等于引进了一个基本的清算和结算和流通的机制。 这个可以很大程度减少流通和结算成本。比如开发者可以获得代币为联盟链的底层做开发，联盟链系统上的服务提供商可以接送代币作为报酬，服务消费者可以用代币来消费。一个没有代币的联盟链就缺乏原生的清算结算和流通的单位，整个生态系统的构成会比较困难。[2018/9/29]

影响

这会影响：

1、我们测试过的所有桌面操作系统以及浏览器；

2、我们使用GoogleChrome、Chromium和Firefox浏览器在Windows、macOS和Linux上进行了测试；

3、所有浏览器版本上的所有版本MetaMask扩展钱包。

但这个漏洞不会影响MetaMask移动端钱包。

助记词短语最终会被清除，但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入MetaMask后不久，设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件，那那些有权访问你计算机的人，就可能会拿到你的助记词短语，因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南，使用任何第三方迁移工具都需要自行承担风险。

注意，可以物理访问你的计算机的人或恶意软件可能会利用此漏洞进行攻击，而如果你的设备受到恶意软件的攻击，那有些攻击是无法进行防御的。

如果你认为自己容易受到该攻击的影响

如果你的计算机有可能受到你不信任的人的影响，我们建议你在系统上启用「全磁盘加密」。此外，如果你的资金是由一个硬件钱包管理，那你不会受到该漏洞的影响。

受影响的用户应考虑将资金从旧钱包账户转移到新的钱包账户地址。

本文档的其余部分将提供一些额外的详细信息，以及有关如何最好地保护你的钱包安全的建议。稍后，我们将披露有关问题性质的更多细节，以便其他软件开发人员可以自己避免这些问题，但目前我们会先提醒用户，以最大程度地降低盗窃风险。

我有多安全？

如上文所述，如果你的计算机受到了威胁，你都无法确定在该计算机上运行的任何程序的安全性。

这是流行的密码管理器1Password团队已经承认并讨论过的问题，1Password的首席安全架构师JeffreyGoldberg解释过要解决该问题的困难之处，他说：

「这是一个众所周知的问题，之前该问题已经被公开讨论过很多次，但任何看似合理的解决方案都可能比问题本身更糟糕。」

如果你使用的是密码管理器，那么你可能会比不使用密码管理器的人更安全一些，但即使是用了密码管理器，也无法避免漏洞问题。

结论

最终我们了解到，我们的密码加密功能的安全性，部分会受到浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了其威胁模型，而我们当前的钱包是建立在浏览器之上的，因此事实证明，减少这种攻击面的规模需要耗费大量人力，而且可能无法完全消除这种攻击。最终，很可能只有「全磁盘加密」才能为你的计算机提供强大的物理计算机访问安全性。

一般来说，计算机/浏览器等应该在某种程度上暂时或永久地存储文本输入。然而，由于保护你的助记词短语的安全性有多么重要，因此需要注意此特定场景，以便用户可以采取相应的行动。

幸运的是，密码似乎仍然提供了一定程度的安全性。我们发现，只有在非常特定的情况下才能提取助记词短语，并且我们已经能够在Halborn等待披露的时间段内引入新的保护措施，并且我们计划实施更多的保护措施，以进一步降低这种风险。这意味着如果你不使用自己的钱包，锁定钱包仍然是一个好习惯。

一些重要的事：

1、请花点时间在你的计算机上启用全盘加密。这是确保你的计算机不会被具有物理访问权限的人提取其所有内容的唯一方法。我们还建议用户使用硬件钱包作为额外的安全措施。

2、清除你的浏览器缓存数据

3、请记住，确保计算机安全是你的责任，如果运行它的系统受到威胁，任何钱包或软件都无法保证自身的安全，花点时间学习如何让计算机避免恶意软件。

来源：金色财经

标签：LOCBLOCKBTC区块链blockchain钱包中文版下载blockchain是什么公司FCBTC币ruff币区块链最新消息

以太坊热门资讯