链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 币安下载 > 正文

安全指南:如何防御MetaMask浏览器钱包漏洞?

作者:

时间:

原文标题:《一文了解如何免受 MetaMask 浏览器钱包安全漏洞的影响》

注:北京时间 6 月 16 日凌晨,ConsenSys 开发者 Dan Finlay?披露了 MetaMask 浏览器扩展钱包存在的安全漏洞,这可能导致一小部分用户的钱包资金面临被盗风险,对此问题,他给出了一些安全建议。

Halborn 的研究人员发现了一种情况,即在极少数情况下可以在磁盘上发现未加密的用户密钥,该问题已经在 10.11.3 版本的 MetaMask 浏览器扩展钱包以及更高版本的钱包中得到了修复。

Halborn 的安全研究人员披露了一个实例,在某种情况下,可以从被攻击的计算机磁盘中提取 MetaMask 等 Web 钱包使用的助记词短语。

以下内容不会影响 MetaMask 移动端钱包用户,而只会影响一小部分 MetaMask 浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施,因此对于 10.11.3 版本以及更高版本的 MetaMask 浏览器扩展钱包用户来说,这些不应该是问题。注意,如果以下三个条件都适用于你,那你的钱包可能会面临风险,你应该阅读以下内容了解后续步骤:

期权协议Sigma Protocol将在Columbus-5升级后上线Terra:9月16日消息,期权协议Sigma Protocol宣布计划将在Terra Columbus-5升级后上线Terra。[2021/9/16 23:30:02]

你的硬盘未加密;你已经将助记词短语导入到设备上的 MetaMask 浏览器扩展钱包中,而该设备由你不信任的人拥有,或者你的计算机已经被黑。在导入过程中,你使用了「显示助记词短语」(Show Secret Recovery Phrase)复选框在屏幕上查看你的助记词。(如下图所示)

这会影响:

1、我们测试过的所有桌面操作系统以及浏览器;

2、我们使用 Google Chrome、Chromium 和 Firefox 浏览器在 Windows、macOS 和 Linux 上进行了测试;

3、所有浏览器版本上的所有版本 MetaMask 扩展(v10.11.3 之前)钱包。

波卡第46号动议欲取消相关Slash惩罚被否决:12月14日,Web3基金会技术教育主管Bill Laboon发推公布波卡项目进展。内容显示,波卡社区第46号动议计划取消Era 188的Slash惩罚,已被波卡理事会否决。[2020/12/14 15:10:12]

但这个漏洞不会影响 MetaMask 移动端钱包。

助记词短语最终会被清除,但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入 MetaMask 后不久,设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件,那那些有权访问你计算机的人,就可能会拿到你的助记词短语,因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南,使用任何第三方迁移工具都需要自行承担风险。

注意,可以物理访问你的计算机的人或恶意软件可能会利用此漏洞进行攻击,而如果你的设备受到恶意软件的攻击,那有些攻击是无法进行防御的(例如键盘记录器、直接内存访问和程序控制)。

如果你的计算机有可能受到你不信任的人的影响,我们建议你在系统上启用「全磁盘加密」。此外,如果你的资金是由一个硬件钱包管理,那你不会受到该漏洞的影响。

受影响的用户应考虑将资金从旧钱包账户转移到新的钱包账户地址。

本文档的其余部分将提供一些额外的详细信息,以及有关如何最好地保护你的钱包安全的建议。稍后,我们将披露有关问题性质的更多细节,以便其他软件开发人员可以自己避免这些问题,但目前我们会先提醒用户,以最大程度地降低盗窃风险。

如上文所述,如果你的计算机受到了威胁(无论是物理威胁还是恶意软件),你都无法确定在该计算机上运行的任何程序的安全性。

这是流行的密码管理器 1 Password 团队已经承认并讨论过的问题,1 Password 的首席安全架构师 Jeffrey Goldberg 解释过要解决该问题的困难之处,他说:

「这是一个众所周知的问题,之前该问题已经被公开讨论过很多次,但任何看似合理的解决方案都可能比问题本身更糟糕。」

如果你使用的是密码管理器,那么你可能会比不使用密码管理器的人更安全一些,但即使是用了密码管理器,也无法避免漏洞问题。

最终我们了解到,我们的密码加密功能的安全性,部分会受到浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了其威胁模型,而我们当前的钱包是建立在浏览器之上的,因此事实证明,减少这种攻击面的规模需要耗费大量人力,而且可能无法完全消除这种攻击。最终,很可能只有「全磁盘加密」才能为你的计算机提供强大的物理计算机访问安全性。

一般来说,计算机/浏览器等应该在某种程度上暂时或永久地存储文本输入。然而,由于保护你的助记词短语的安全性有多么重要,因此需要注意此特定场景,以便用户可以采取相应的行动。

幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现,只有在非常特定的情况下才能提取助记词短语,并且我们已经能够在 Halborn 等待披露的时间段内引入新的保护措施,并且我们计划实施更多的保护措施,以进一步降低这种风险。这意味着如果你不使用自己的钱包(或将你的计算机交给其他人),锁定钱包仍然是一个好习惯。

一些重要的事:

1、请花点时间在你的计算机上启用全盘加密。这是确保你的计算机不会被具有物理访问权限的人提取其所有内容的唯一方法。我们还建议用户使用硬件钱包作为额外的安全措施。

2、清除你的浏览器缓存数据(我们的研究表明,这在某些情况下可能对某些用户有所帮助)

3、请记住,确保计算机安全是你的责任,如果运行它的系统受到威胁,任何钱包或软件都无法保证自身的安全,花点时间学习如何让计算机避免恶意软件。

标签:DAPPAXIDEFIAMAdapp币交易Bambino MaximusDEFI价格COINMAMA币

币安下载热门资讯
币圈流动性危机继续蔓延 冻结提款的平台越来越多

有人身处动荡之中,有人想要趁势抄底。 流动性枯竭的剧目一旦开演,谁都有可能成为下一幕的主角。 从“币圈银行”Celsius,到币圈最大对冲基金三箭资本,再到“币圈券商”Voyager Digital,现在舞台的部分灯光又分给了加密货币交易所CoinFlex。

金色观察|草蛇灰线之下 三箭资本和BlockFi可能败在同一个地方

市场传闻,继Celsius和三箭之后,下一个陷入流动性危机将是BlockFi。 6月15日Theblock称,三箭资本在Deribit、BlockFi等借贷平台上的总清算额达4亿美元。以太坊价格屡次触及三箭资本在AAVE的债务触及清算线,同一日PeckShield监测与三箭资本相关地址被清算1万多枚ETH。区区不到6亿美元的清算额度就绊倒了三箭资本。

加密冬天来了 如何在加密货币熊市期间管理你的资产

加密货币冬天——相当于华尔街熊市的加密货币——已经到来。 虽然金融专家有一个特定的基准来定义熊市,这意味着股票从最高价下跌了 20%,但加密冬天的定义并不那么具体。一般来说,如果价格下跌并在很长一段时间内保持低位,投资者和专家将宣布加密货币冬天。而且,确实,那个时候到了。 市场下跌伴随着包括 Gemini 在内的一些主要加密货币交易所的裁员。

发展DApp的最佳公链 波卡生态发展的另一种展望

背景 几周前因为知名媒体的一篇《300万人的第一双“虚拟鞋”》,StepN 彻底在国内互联网圈火了一把,甚至引来了知名媒体大V刘润老师的撰文,可以说 StepN 作为 Web3 的又一款应用,顺利完成了出圈任务。

下一个消费级加密原生产品或许是链上聊天工具

虽然币价大幅下跌,但加密货币的基础技术——区块链,将在未来十年继续变革技术领域。Web3 世界的许多愿景过于宏大,而贴近消费者的应用往往才是行业爆发的突破口。 比如,圈内用户希望能够以加密原生的方式进行链上通信,无需使用 Gmail、Telegram 或短信之类的 Web2 解决方案。

金色观察 | 快速走出熊市 机构如何在危中找机会

金色财经 区块链6月25日讯  自比特币诞生以来,加密市场在短短十几年中经历过多次波折。当时间来到2022年,加密行业似乎又一次陷入了困境。在经历了比特币价格持续下跌、稳定币脱锚崩盘、三箭资本的流动性危机等一系列事件之后,整个加密行业弥漫着一种低迷压抑的情绪,投资者突然发现今年可能会是史上最难熬的一个寒冬。