Am Mittwoch, MetaMask sagte dass es mit Hilfe von Sicherheitsforschern bei Halborn eine kritische Sicherheitslücke in älteren Versionen seiner Krypto-Wallet aufgedeckt hat. Die Sicherheitsfirma erhielt für die Entdeckung eine Prämie von 50.000 US-Dollar.
Für Benutzer der MetaMask-Erweiterung vor Version 10.11.3 hätten drei notwendige Bedingungen zu der potenziellen Schwachstelle geführt. Dies sind: (1) eine unverschlüsselte Festplatte, (2) das Importieren einer geheimen Wiederherstellungsphrase in eine MetaMask-Erweiterung auf einem Gerät, das kompromittiert, gestohlen oder unbefugt zugänglich ist, und (3) das Verwenden der „Geheime Wiederherstellungsphrase anzeigen“. ” Kontrollkästchen, um während des Importvorgangs die geheime Wiederherstellungsphrase auf dem Bildschirm anzuzeigen.
„Wir haben nur festgestellt, dass die Secret Recovery Phrase unter ganz bestimmten Umständen extrahiert werden konnte, und wir konnten in dem Zeitraum, in dem Halbborn auf die Offenlegung gewartet hat, neue Schutzmaßnahmen einführen.“
Anscheinend betrifft der Exploit alle Browserversionen von MetaMask-Wallet-Versionen vor dem 10.11.3-Update und alle Betriebssysteme, wenn alle drei Umstände erfüllt sind, aber keine mobilen Versionen.
MetaMask warnt betroffene Benutzer, ihre Gelder aus ihren kompromittierten Wallets zu migrieren. Beachten Sie jedoch, dass alle drei Bedingungen erfüllt sein müssen, damit die Schwachstelle in älteren Versionen von MetaMask aktiv ist.