Halborn研究人员发现了一个问题:极少数情况下,可以在硬盘上找到未加密的用户私匙,该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复
背景
Halborn安全研究人员披露了一个实例,发现在某些条件下,可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会影响MetaMask 移动端钱包用户,但会影响一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。了解该问题后,MetaMask已实施补救措施,目前对于使用10.11.3 及更高版本的MetaMask浏览器扩展钱包用户,风险已经解除。但如果您满足以下3个条件,仍可能面临风险,请阅读下文,采取后续步骤:
l 硬盘未加密
l 您将助记词导入了某个不信任的人的设备的MetaMask插件程序中,或者个人电脑已被入侵
l 导入过程中,您曾打开“显示助记词”选项,在屏幕上查看助记词。(如图所示)
影响
这会影响到:
l 我们测试过的所有桌面操作系统和浏览器。
l 我们使用了Google Chrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。
l 所有浏览器版本上的所有MetaMask插件钱包(v10.11.3之前)。
l MetaMask 移动端钱包不受影响。
助记词最终会被清除,但我们目前无法保证何时清除。
该漏洞最有可能影响到将助记词导入MetaMask后不久,其设备就被入侵或被盗的用户。
如果您满足所有上述条件,那么能访问您导入助记词的电脑的人就有可能获得您的助记词,您最好将资金从相关帐户中迁移出去,以确保安全。我们在此提供了一份迁移账户资金指南,使用任何第三方迁移工具都需要您自担风险。
无论是可以直接使用还是通过恶意软件控制您的设备的人都可以利用此漏洞。而如果设备已被恶意软件入侵,您还可能面临许多其他我们无法防御的攻击(如键盘记录器、直接访问内存、控制程序等)。
如果认为自己面临风险
如果有不信任的人可以使用您的电脑,我们建议您启用全硬盘加密。而如果您的资金由硬件钱包管理,您将不受影响。
受影响的用户应考虑将资金从使用相关助记词生成的旧钱包账户转移至由新助记词生成的新账户。我们提供了一份指南来帮助有需要的用户执行此操作,并给出了可简化该流程的软件选择。
下文将提供更多详情,以及关于如何最好地保障钱包安全的建议。稍后我们将披露有关该问题性质的更多细节,以帮助其他软件开发人员避免这些问题。但目前,我们首先要-提醒用户,以最大程度地降低盗窃风险。
我的安全性如何?
如上文所述,如果一台电脑被入侵(能被他人使用或被恶意软件入侵),您将无法保障其中运行的任何程序的安全。
流行的密码管理器1Password团队探讨过这个问题。1Password首席安全架构师Jeffrey Goldberg解释了解决该问题的难度:“这个问题广为人知,并已被公开讨论过多次,但任何看似合理的补救方案都可能会成事不足败事有余。”
使用密码管理器可能比不使用要安全,但也难以完全避免这一问题的影响。
结论
MetaMask最终发现,密码加密功能的部分安全性受到了浏览器行为的破坏。由于浏览器本身认为物理访问攻击(他人访问相关设备)超出了威胁模型范畴,而钱包是建立在浏览器之上的,因此要缩减这种攻击面需要耗费大量人力,即便如此也难以完全消除风险。说到底,可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。
这是您本该预期的风险吗?这取决于您是否认为可以在硬盘上恢复助记词。如果您认为自己的电脑需要时刻保持安全,那么应该没问题。但如果您认为MetaMask密码能保证只要无法使用您电脑的人就无法提取您的帐户,恐怕就说不准了。
从更高的层面上,我们应该普遍预期计算机、浏览器等都会多多少少存储输入的文本内容,不论是暂时的还是永久的。鉴于保护助记词的重要性,我们需要对这个具体场景引起注意,以便让用户采取相应的行动。
幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现助记词只有在非常特定的情况下才可能被提取出来。在Halborn等待披露的这段时间内,我们已经引入了新的保护措施,并计划实施更多措施。MetaMask将继续引入更多安全机制,以进一步降低风险。这意味着当您不使用钱包(或将电脑交给他人)时,给钱包上锁仍是一个好习惯。
1. 为电脑启用全硬盘加密。这是保障对您的电脑有物理访问权限的人无法提取所有内容的唯一方法。我们也建议使用硬件钱包提供额外的安全保障。
2. 清除浏览器缓存(我们的研究表明这样做能在某些情况下帮到某些用户)
3. 请牢记,确保电脑安全是您的责任。如果电脑系统被入侵,任何钱包或软件都无法保证安全。请花时间学习如何避免电脑被植入病。
MetaMask要感谢Halborn团队负责任地披露这一漏洞,并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授予了5万美元奖金。
撰文:Dan Finlay,MetaMask
翻译:王尔玉、PANews
短短数月,“数字藏品”概念火了。 据公开数据,当前国内已有超过20家上市企业布局数字藏品相关业务,BAT、字节、快手等互联网公司悉数入局,今年2月到5月的三个月间,超200多家数字藏品平台横空出世。 当大火的NFT概念传入国内,由于监管明令禁止虚拟货币流通,“数字藏品”应运而生。
当 UST 从 1 美元贬值到 0.01 美元时,散户一直不离不弃——60.4% 的散户持有至 UST 归零,其余的散户则平均亏损 70%。这是为什么?他们的信心从何而来?2021 年 5 月 UST 第一次脱锚背后的真相或许会告诉你答案。
2022年6月7日,美国两位参议员联手提出一项针对加密领域的提出负责任金融创新法案(Responsible Financial Innovation Act ),法案涉及到加密货币和加密资产的运行,以及CFTC和SEC管辖权,稳定币监管,银行业务,数字资产的税收处理等。历次监管的变化,都对加密行业产生很大的影响,这是为什么要关注这个法案的原因之一。
“晚上做梦做到自己抄底做多,直接被吓出了一身冷汗,然后想起来自己已经不玩了,觉得又失落又庆幸。”6月19日,比特币的暴跌行情下,一名币圈用户向北京商报记者打趣道。还有用户则向北京商报记者直言,交了50万元学费,退出时账户还剩55元。 6月以来,以比特币、以太坊为首的虚拟货币暴跌行情愈演愈烈。
1.金色观察 | eBay、Uniswap纷纷收购NFT平台意味着啥 牛市中,公司收购是为了加快增长;然而在熊市中,公司收购是为重整其业务,从而更好地经受住时代的考验。 企业重整业务似乎正如火如荼,本周在NFT生态系统中有两个重大的收购,即Uniswap Labs收购Genie,和eBay收购KnownOrigin。
X to earn的一个潮流逐渐受到大家追捧,可惜的是很多系统的代币设计都不是很成功。其中的原因有很多,但是一个最重要的原因是无脑撒币:即简单的因为用户使用了平台就给予用户代币。这种设计通常导致经济系统失衡,并用错误的激励导致用户错误的行为。一个好的代币系统应该有如下两个特点: 代币是为了激励目标的实现,而不能是目标本身。
区块见闻