区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 火币下载 > 正文

安全指南:如何防御MetaMask浏览器钱包漏洞?

作者:

时间:

原文标题:《一文了解如何免受 MetaMask 浏览器钱包安全漏洞的影响》

注:北京时间 6 月 16 日凌晨,ConsenSys 开发者 Dan Finlay?披露了 MetaMask 浏览器扩展钱包存在的安全漏洞,这可能导致一小部分用户的钱包资金面临被盗风险,对此问题,他给出了一些安全建议。

Halborn 的研究人员发现了一种情况,即在极少数情况下可以在磁盘上发现未加密的用户密钥,该问题已经在 10.11.3 版本的 MetaMask 浏览器扩展钱包以及更高版本的钱包中得到了修复。

Halborn 的安全研究人员披露了一个实例,在某种情况下,可以从被攻击的计算机磁盘中提取 MetaMask 等 Web 钱包使用的助记词短语。

以下内容不会影响 MetaMask 移动端钱包用户,而只会影响一小部分 MetaMask 浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施,因此对于 10.11.3 版本以及更高版本的 MetaMask 浏览器扩展钱包用户来说,这些不应该是问题。注意,如果以下三个条件都适用于你,那你的钱包可能会面临风险,你应该阅读以下内容了解后续步骤:

KuCoin (库币) 平台用户数突破800万,累计交易量突破1900亿美金:据KuCoin(库币)官方推特最新消息显示, KuCoin (库币) 平台用户数已突破800万,其累计交易量突破1900亿美金。以“全民的交易所”著称,KuCoin (库币) 旨在发掘全球优质区块链项目,为来自207个国家的600万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/4/19 20:35:17]

你的硬盘未加密;你已经将助记词短语导入到设备上的 MetaMask 浏览器扩展钱包中,而该设备由你不信任的人拥有,或者你的计算机已经被黑。在导入过程中,你使用了「显示助记词短语」(Show Secret Recovery Phrase)复选框在屏幕上查看你的助记词。(如下图所示)

这会影响:

1、我们测试过的所有桌面操作系统以及浏览器;

2、我们使用 Google Chrome、Chromium 和 Firefox 浏览器在 Windows、macOS 和 Linux 上进行了测试;

美国财长耶伦:数字货币可能导致更快、更低成本的支付:美国财长耶伦表示:数字货币可能导致更快、更低成本的支付,但许多问题需要研究,包括消费者保护、。比特币经常被用于非法融资,效率低下。美联储研究数字美元货币是有意义的。[2021/2/22 17:40:54]

3、所有浏览器版本上的所有版本 MetaMask 扩展(v10.11.3 之前)钱包。

但这个漏洞不会影响 MetaMask 移动端钱包。

助记词短语最终会被清除,但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入 MetaMask 后不久,设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件,那那些有权访问你计算机的人,就可能会拿到你的助记词短语,因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南,使用任何第三方迁移工具都需要自行承担风险。

注意,可以物理访问你的计算机的人或恶意软件可能会利用此漏洞进行攻击,而如果你的设备受到恶意软件的攻击,那有些攻击是无法进行防御的(例如键盘记录器、直接内存访问和程序控制)。

如果你的计算机有可能受到你不信任的人的影响,我们建议你在系统上启用「全磁盘加密」。此外,如果你的资金是由一个硬件钱包管理,那你不会受到该漏洞的影响。

受影响的用户应考虑将资金从旧钱包账户转移到新的钱包账户地址。

本文档的其余部分将提供一些额外的详细信息,以及有关如何最好地保护你的钱包安全的建议。稍后,我们将披露有关问题性质的更多细节,以便其他软件开发人员可以自己避免这些问题,但目前我们会先提醒用户,以最大程度地降低盗窃风险。

如上文所述,如果你的计算机受到了威胁(无论是物理威胁还是恶意软件),你都无法确定在该计算机上运行的任何程序的安全性。

这是流行的密码管理器 1 Password 团队已经承认并讨论过的问题,1 Password 的首席安全架构师 Jeffrey Goldberg 解释过要解决该问题的困难之处,他说:

「这是一个众所周知的问题,之前该问题已经被公开讨论过很多次,但任何看似合理的解决方案都可能比问题本身更糟糕。」

如果你使用的是密码管理器,那么你可能会比不使用密码管理器的人更安全一些,但即使是用了密码管理器,也无法避免漏洞问题。

最终我们了解到,我们的密码加密功能的安全性,部分会受到浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了其威胁模型,而我们当前的钱包是建立在浏览器之上的,因此事实证明,减少这种攻击面的规模需要耗费大量人力,而且可能无法完全消除这种攻击。最终,很可能只有「全磁盘加密」才能为你的计算机提供强大的物理计算机访问安全性。

一般来说,计算机/浏览器等应该在某种程度上暂时或永久地存储文本输入。然而,由于保护你的助记词短语的安全性有多么重要,因此需要注意此特定场景,以便用户可以采取相应的行动。

幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现,只有在非常特定的情况下才能提取助记词短语,并且我们已经能够在 Halborn 等待披露的时间段内引入新的保护措施,并且我们计划实施更多的保护措施,以进一步降低这种风险。这意味着如果你不使用自己的钱包(或将你的计算机交给其他人),锁定钱包仍然是一个好习惯。

一些重要的事:

1、请花点时间在你的计算机上启用全盘加密。这是确保你的计算机不会被具有物理访问权限的人提取其所有内容的唯一方法。我们还建议用户使用硬件钱包作为额外的安全措施。

2、清除你的浏览器缓存数据(我们的研究表明,这在某些情况下可能对某些用户有所帮助)

3、请记住,确保计算机安全是你的责任,如果运行它的系统受到威胁,任何钱包或软件都无法保证自身的安全,花点时间学习如何让计算机避免恶意软件。

标签:metamaskETATAMCOImetamask小狐狸钱包安卓版imkey怎么管理metamaskmetamask下载官网appBenjacoin

火币下载热门资讯
熊市专题:当前市场下蓝筹 NFT 走势

市场普遍认知上最有价值、最有潜力的蓝筹NFT在过去一周迅速下跌。 近期,美联储接连加息,LUNA和Celsius相继发生闪崩,监管与股市、证券市场关联性等事件,导致了市场上各种资产的大幅波动。 市场普遍认知上最有价值、最有潜力的蓝筹NFT在过去一周迅速下跌。

金色趋势丨知史鉴今 回落是机会?

BTC自跌破图中趋势通道中轨线支撑后便震荡向下,最后加速向下插针至下轨线17600附近止跌回升,周线形成长下影,根据插针再探原则,后面往往还有再次回落测试,昨天分析也提示了反弹后再次回落可能,那么后面就要关注下轨线能否有效支撑。

金色趋势丨BTC震荡回升 反弹还未终结?

我们看下方BTC月线指数,前期一旦跌至平衡线下方,意味着BTC价格基本已到达各轮熊市底部,例如2011年、2014年和2018年熊市,后面开始长时间底部盘整,然后启动牛市,目前再次跌至平衡线一带,说明BTC可能也已探明底部,后面再出现大幅下杀的概率不大,而是进入区间震荡筑底的概率大,同时下方月线长期支撑线也未破。

金色观察|鲍威尔听证会首日要点:需持续加息、加密货币需要更好监管

当地时间6月22日,美联储主席鲍威尔在美国国会参议院银行委员会就半年度货币政策报告做证词陈述。鲍威尔表示,美联储与通胀的斗争可能使其将利率提高到足以导致经济衰退的水平。 以下是鲍威尔听证会首日的主要观点: 关于加息: 鲍威尔:未来几个月,我们将寻找令人信服的证据,证明通胀正在下降,与通胀回落到2%一致。我们预计,目前持续加息将是合适的。

“人”潮汹涌:风口上的虚拟人 如何“倒推”元宇宙?

虚拟人,就是今天的元宇宙。 中国虚拟人赛道正处于风口浪尖之上。 目前,无论是创业者还是资本,都对虚拟人赛道表现出了极大的热情——据不完全统计,国内现有“数字人”、“虚拟人”相关企业已经超过38.6万家,其中2021年单年新增注册企业达近18万家;在融资方面,“虚拟人”相关企业去年全年融资超2843起,总金额达2540亿元。

晚间必读5篇 | 去中心化NFT交易协议将击败OpenSea

京时间6月22日1时,以太坊扩展方案Arbitrum正式启动The Arbitrum Odyssey活动。为期 8 周的活动中,用户将通过执行链上任务来了解目前 Arbitrum 上的一些顶级 dapp。用户在参与活动的同时可以:点击阅读 Wyvern是1阶去中心化交换协议。