轉發提醒!MetaMask小狐狸錢包安全公告,如何應對拓展程式潛在的私鑰洩露

語言: CN / TW / HK

專案動態 |2022-06-21 7:14

但如果你的MetaMask小狐狸錢包滿足以下3個條件,仍可能面臨風險,請閱讀文章,採取後續步驟。

撰文:Dan Finlay,MetaMask

翻譯:王爾玉、PANews

Halborn研究人員發現了一個問題:極少數情況下,可以在硬碟上找到未加密的使用者私匙,該問題已在10.11.3及更高版本的MetaMask瀏覽器擴充套件錢包中得到修復

背景

Halborn安全研究人員披露了一個例項,發現在某些條件下,可以從入侵的電腦硬碟中提取MetaMask等網頁錢包的助記詞。以下內容不會影響MetaMask 移動端錢包使用者,但會影響一小部分MetaMask瀏覽器擴充套件錢包使用者及其他瀏覽器/外掛錢包使用者。這會使一些使用者面臨風險。瞭解該問題後,MetaMask已實施補救措施,目前對於使用10.11.3 及更高版本的MetaMask瀏覽器擴充套件錢包使用者,風險已經解除。但如果您滿足以下3個條件,仍可能面臨風險,請閱讀下文,採取後續步驟:

l 硬碟未加密

l 您將助記詞匯入了某個不信任的人的裝置的MetaMask外掛程式中,或者個人電腦已被入侵

l 匯入過程中,您曾開啟“顯示助記詞”選項,在螢幕上檢視助記詞。(如圖所示)

影響

這會影響到:

l 我們測試過的所有桌面作業系統和瀏覽器。

l 我們使用了Google Chrome、Chromium和火狐瀏覽器在Windows、macOS和Linux上進行了測試。

l 所有瀏覽器版本上的所有MetaMask外掛錢包(v10.11.3之前)。

l MetaMask 移動端錢包不受影響。

助記詞最終會被清除,但我們目前無法保證何時清除。

該漏洞最有可能影響到將助記詞匯入MetaMask後不久,其裝置就被入侵或被盜的使用者。

如果您滿足所有上述條件,那麼能訪問您匯入助記詞的電腦的人就有可能獲得您的助記詞,您最好將資金從相關帳戶中遷移出去,以確保安全。我們在此提供了一份遷移賬戶資金指南,使用任何第三方遷移工具都需要您自擔風險。

無論是可以直接使用還是通過惡意軟體控制您的裝置的人都可以利用此漏洞。而如果裝置已被惡意軟體入侵,您還可能面臨許多其他我們無法防禦的攻擊(如鍵盤記錄器、直接訪問記憶體、控制程式等)。

如果認為自己面臨風險

如果有不信任的人可以使用您的電腦,我們建議您啟用全硬碟加密。而如果您的資金由硬體錢包管理,您將不受影響。

受影響的使用者應考慮將資金從使用相關助記詞生成的舊錢包賬戶轉移至由新助記詞生成的新賬戶。我們提供了一份指南來幫助有需要的使用者執行此操作,並給出了可簡化該流程的軟體選擇。

下文將提供更多詳情,以及關於如何最好地保障錢包安全的建議。稍後我們將披露有關該問題性質的更多細節,以幫助其他軟體開發人員避免這些問題。但目前,我們首先要-提醒使用者,以最大程度地降低盜竊風險。

我的安全性如何?

如上文所述,如果一臺電腦被入侵(能被他人使用或被惡意軟體入侵),您將無法保障其中執行的任何程式的安全。

流行的密碼管理器1Password團隊探討過這個問題。1Password首席安全架構師Jeffrey Goldberg解釋瞭解決該問題的難度:“這個問題廣為人知,並已被公開討論過多次,但任何看似合理的補救方案都可能會成事不足敗事有餘。”

使用密碼管理器可能比不使用要安全,但也難以完全避免這一問題的影響。

結論

MetaMask最終發現,密碼加密功能的部分安全性受到了瀏覽器行為的破壞。由於瀏覽器本身認為物理訪問攻擊(他人訪問相關裝置)超出了威脅模型範疇,而錢包是建立在瀏覽器之上的,因此要縮減這種攻擊面需要耗費大量人力,即便如此也難以完全消除風險。說到底,可能只有全硬碟加密才能為電腦提供強大的抵禦物理訪問攻擊的安全性。

這是您本該預期的風險嗎?這取決於您是否認為可以在硬碟上恢復助記詞。如果您認為自己的電腦需要時刻保持安全,那麼應該沒問題。但如果您認為MetaMask密碼能保證只要無法使用您電腦的人就無法提取您的帳戶,恐怕就說不準了。

從更高的層面上,我們應該普遍預期計算機、瀏覽器等都會多多少少儲存輸入的文字內容,不論是暫時的還是永久的。鑑於保護助記詞的重要性,我們需要對這個具體場景引起注意,以便讓使用者採取相應的行動。

幸運的是,密碼似乎仍然提供了一定程度的安全性。我們發現助記詞只有在非常特定的情況下才可能被提取出來。在Halborn等待披露的這段時間內,我們已經引入了新的保護措施,並計劃實施更多措施。MetaMask將繼續引入更多安全機制,以進一步降低風險。這意味著當您不使用錢包(或將電腦交給他人)時,給錢包上鎖仍是一個好習慣。

重點提示:

1. 為電腦啟用全硬碟加密。這是保障對您的電腦有物理訪問許可權的人無法提取所有內容的唯一方法。我們也建議使用硬體錢包提供額外的安全保障。

2. 清除瀏覽器快取(我們的研究表明這樣做能在某些情況下幫到某些使用者)

3. 請牢記,確保電腦安全是您的責任。如果電腦系統被入侵,任何錢包或軟體都無法保證安全。請花時間學習如何避免電腦被植入病毒。

MetaMask要感謝Halborn團隊負責任地披露這一漏洞,並感謝他們為保護加密空間付出的所有辛勤工作。為這一發現向Halborn授予了5萬美元獎金。