转发提醒 MetaMask小狐狸钱包安全公告 如何应对拓展程序潜在的私钥泄露

Halborn研究人员发现了一个问题:极少数情况下,可以在硬盘上找到未加密的用户私匙,该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复

背景

Halborn安全研究人员披露了一个实例,发现在某些条件下,可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会影响MetaMask移动端钱包用户,但会影响一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。了解该问题后,MetaMask已实施补救措施,目前对于使用10.11.3及更高版本的MetaMask浏览器扩展钱包用户,风险已经解除。但如果您满足以下3个条件,仍可能面临风险,请阅读下文,采取后续步骤:

l硬盘未加密

Ethermine矿池宣布将在伦敦升级后变更支付政策,100%而不是80%的MEV奖励将转发给矿工:官方消息,Ethermine矿池宣布,在区块高度12,965,000进行伦敦升级后,将变更支付政策:100%而不是80%的MEV奖励将转发给矿工;现在也可以通过IP验证启动手动支付和更改阈值;最低支付门槛将降至0.01 ETH且无每月自动支付;矿工为所有以太坊主网支付交易支付的支付交易费,矿工可以设置他们愿意支付的最高gas价格。[2021/7/19 1:02:57]

l您将助记词导入了某个不信任的人的设备的MetaMask插件程序中,或者个人电脑已被入侵

l导入过程中,您曾打开“显示助记词”选项,在屏幕上查看助记词。

孙宇晨关于太阳币Sun的推文被Wallstreetbets官方转发:据官方最新消息,WallStreetBets?Reddit社区转发了波场TRON创始人兼BitTorrent?CEO孙宇晨关于太阳币SUN的推文。推文内容:“太阳币SUN 已成为SUN Network的核心代币。SUN Network 计划是波场主网的扩容计划,包含智能合约应用侧链(DAppChain)、跨链通讯等一些列扩容项目。其中 DAppChain 为波场的侧链项目,着重为波场主网提供无限扩容能力,同时帮助 DApp 以更低的 Energy 消耗,安全高效地在波场上运行。”[2021/1/30 18:28:38]

影响

这会影响到:

l我们测试过的所有桌面操作系统和浏览器。

ETC官推转发投票,或考虑将挖矿算法更改为SHA3:Ethereum Classic官方推特账户转发推特网友程序员Kimi Sian所发起的有关更改ETC挖矿算法的投票,并提问称,你是否支持将挖矿算法更改为SHA3?[2020/8/14]

l我们使用了GoogleChrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。

l所有浏览器版本上的所有MetaMask插件钱包。

lMetaMask移动端钱包不受影响。

助记词最终会被清除,但我们目前无法保证何时清除。

该漏洞最有可能影响到将助记词导入MetaMask后不久,其设备就被入侵或被盗的用户。

Fanstime引领数千明星粉丝团拥抱区块链 十小时转发破百万: FansTime携手粉丝网在微博、Twitter开启主题为“共建粉丝时代”的全球首个区块链粉丝应援活动。全球范围内数千家最具影响力的粉丝团包括:防弹少年团(BTS)、EXO、TFBoys成员(王源、王俊凯、易烊千玺)、GOT7、SNH48、郑秀晶、吴世勋、魏晨、郑爽、黄景瑜、李艺彤、胡一天等应邀参与活动,辐射粉丝数千万人。活动开始仅1小时,微博转发量超过10万次;活动开始10小时,转发量突破130万次。截止本条快讯发布,相关话题阅读量已达3000余万次。FansTime与全球粉丝团一起构建粉丝新生态,引领粉丝经济主力军正式步入区块链时代。[2018/3/6]

如果您满足所有上述条件,那么能访问您导入助记词的电脑的人就有可能获得您的助记词,您最好将资金从相关帐户中迁移出去,以确保安全。我们在此提供了一份迁移账户资金指南,使用任何第三方迁移工具都需要您自担风险。

无论是可以直接使用还是通过恶意软件控制您的设备的人都可以利用此漏洞。而如果设备已被恶意软件入侵,您还可能面临许多其他我们无法防御的攻击。

如果认为自己面临风险

如果有不信任的人可以使用您的电脑,我们建议您启用全硬盘加密。而如果您的资金由硬件钱包管理,您将不受影响。

受影响的用户应考虑将资金从使用相关助记词生成的旧钱包账户转移至由新助记词生成的新账户。我们提供了一份指南来帮助有需要的用户执行此操作,并给出了可简化该流程的软件选择。

下文将提供更多详情,以及关于如何最好地保障钱包安全的建议。稍后我们将披露有关该问题性质的更多细节,以帮助其他软件开发人员避免这些问题。但目前,我们首先要-提醒用户,以最大程度地降低盗窃风险。

我的安全性如何?

如上文所述,如果一台电脑被入侵,您将无法保障其中运行的任何程序的安全。

流行的密码管理器1Password团队探讨过这个问题。1Password首席安全架构师JeffreyGoldberg解释了解决该问题的难度:“这个问题广为人知,并已被公开讨论过多次,但任何看似合理的补救方案都可能会成事不足败事有余。”

使用密码管理器可能比不使用要安全,但也难以完全避免这一问题的影响。

结论

MetaMask最终发现,密码加密功能的部分安全性受到了浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了威胁模型范畴,而钱包是建立在浏览器之上的,因此要缩减这种攻击面需要耗费大量人力,即便如此也难以完全消除风险。说到底,可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。

这是您本该预期的风险吗?这取决于您是否认为可以在硬盘上恢复助记词。如果您认为自己的电脑需要时刻保持安全,那么应该没问题。但如果您认为MetaMask密码能保证只要无法使用您电脑的人就无法提取您的帐户,恐怕就说不准了。

从更高的层面上,我们应该普遍预期计算机、浏览器等都会多多少少存储输入的文本内容,不论是暂时的还是永久的。鉴于保护助记词的重要性,我们需要对这个具体场景引起注意,以便让用户采取相应的行动。

幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现助记词只有在非常特定的情况下才可能被提取出来。在Halborn等待披露的这段时间内,我们已经引入了新的保护措施,并计划实施更多措施。MetaMask将继续引入更多安全机制,以进一步降低风险。这意味着当您不使用钱包时,给钱包上锁仍是一个好习惯。

重点提示:

1.为电脑启用全硬盘加密。这是保障对您的电脑有物理访问权限的人无法提取所有内容的唯一方法。我们也建议使用硬件钱包提供额外的安全保障。

2.清除浏览器缓存

3.请牢记,确保电脑安全是您的责任。如果电脑系统被入侵,任何钱包或软件都无法保证安全。请花时间学习如何避免电脑被植入病。

MetaMask要感谢Halborn团队负责任地披露这一漏洞,并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授予了5万美元奖金。

撰文:DanFinlay,MetaMask

翻译:王尔玉、PANews

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SAND浅论海外NFT的整体投资价值和估值逻辑

编者按 NFT自从2021年火爆出圈以来,受到市场的广泛关注和讨论。虽然海外市场的NFT的产品逻辑与国内市场的数字藏品并不完全一样,但通过全局性地了解海外市场的发展和运行逻辑,有助于帮大家从长期性的角度客观看待整个加密世界的生态.

币安下载数字藏品=NFT?有关联更有本质区别

近日,福建省发布了《福建省清理整顿各类交易场所工作小组关于防范NFT违规风险的提示函》(以下简称《提示函》),作出“不得未经批准从事NFT交易、不得违规变相参与NFT活动”等四条提示,引发了业界关注和热议.

[0:15ms0-2:685ms