该漏洞(现已修复)使黑客可以从计算机磁盘中提取恢复种子短语。
据一家公司称,包括 MetaMask 和 Phantom 在内的流行加密钱包在其浏览器扩展软件中存在严重漏洞数月之久。报告周三来自网络安全公司 Halborn。
该漏洞可追溯到 2021 年 9 月,现已修复,它使用户的资金面临风险,因为它使黑客有可能提取存储在计算机磁盘上的钱包恢复种子短语。 但是,尚未报告可能与该漏洞相关的漏洞利用。
在报告中,Halborn 的研究人员表示,作为“恢复会话”功能的一部分,钱包提供商生成的助记词以纯文本形式保存在用户的计算机上。 这意味着恶意行为者可以使用恶意软件或物理访问进入。 Halborn 补充说,他们与钱包提供商合作,为他们的钱包修补漏洞。
以太坊上最受欢迎的 web3 钱包 MetaMask 澄清说,关键的安全问题只影响“一小部分用户”,绝大多数用户并不处于高风险之中。 根据 MetaMask 博客,可能存在“在极少数情况下可以在磁盘上找到未加密的用户密钥的情况”。 此外,它还发布了对其最新浏览器扩展版本的缓解措施。
同时,Solana 区块链上最常用的 web3 钱包 Phantom 表示,在 Halborn 最初标记该漏洞三个月后,它于 1 月开始发布修复程序。 此外,Phantom 计划在下周推出另一个详尽的补丁,它说。