Sikkerhetstrussel utsatt for nettleserbaserte kryptolommebøker

En rekke populære nettleserbaserte kryptolommebøker er sårbare for hacking under visse forhold, ifølge ny forskning. 

Blockchain-sikkerhetsfirmaet Halborn fant flere tilfeller der lommebøker, inkludert Brave, MetaMask og Phantom, kan bli kompromittert under spesifikke dataforhold – noe som gir enda en rynke til tradere som fortsatt sliter etter nylige høyprofilerte desentraliserte finans-hacks (DeFi). 

Betingelsene kan avsløre en kryptolommebokbrukers hemmelige gjenopprettingsfrase (en serie ord generert som gir eieren tilgang til deres krypto), som deretter kan brukes til å endre deres private nøkkel. Alt i alt er milliarder av dollar med digitale eiendeler lagret i programvarelommebøker. 

Berørte lommebokleverandører ble kontaktet og sårbarheten ble holdt skjult inntil sikkerhetsproblemene ble utbedret.

Hvem er berørt? 

Brukere som oppfyller følgende betingelser kan være i faresonen:

• Brukere som har ukrypterte harddisker
• Brukere som tidligere har importert sin hemmelige gjenopprettingsfrase til en nettutvidelse på en enhet som er i noen andres besittelse eller har fått datamaskinen sin kompromittert
• Brukere som har brukt avmerkingsboksen "vis hemmelig gjenopprettingsfrase" for å se deres hemmelige gjenopprettingsfrase på skjermen under importprosessen

Cryptocurrency-lommebøker som de som er påvirket av dette sikkerhetsproblemet, for eksempel Metamask, er en selvforvaringslommebok – noe som betyr at brukere alene er ansvarlige for å beskytte sine private nøkler. 

"Børser som Coinbase eller Binance har vanligvis varetekt over disse nøklene på vegne av kundene sine," sa Steven Walbroehl, Halborns sikkerhetssjef og medgründer, til Blockworks.

«Denne påvirkningen er kun for de som har selvforvaring av disse eiendelene, og det er brukernes ansvar å ta det på alvor, oppgradere lommebøkene til den lappede versjonen som er oppført på lommebokutviklerens nettsteder, og å rotere deres mnemoniske setninger hvis de tror det kan være i faresonen," sa Walbroehl. 

MetaMask har spurte brukere til å oppdatere utvidelsesversjonene sine til 10.11.3 og nyere og "ta deg tid til å aktivere full diskkryptering på datamaskiner."

Ekko Walbroehl, Dan Finlay, grunnlegger og gruppeleder i MetaMask skrev i et blogginnlegg at brukere bør "huske at det er ditt ansvar å holde datamaskinen din sikker. Ingen lommebok eller programvare kan holde seg trygg hvis systemet den kjører på er kompromittert. Ta deg tid til å lære hvordan du unngår å installere et virus på datamaskinen din." 

Phantom skrev i mellomtiden i en blogginnlegg at for å beskytte seg selv på Web3, i tillegg til generelle internettsikkerhetstiltak, bør brukere diversifisere lommeboken for å minimere risiko og bruke maskinvarelommebøker til å lagre store mengder eiendeler og valutaer.

"Andre avbøtende tiltak inkluderer lagring av den mnemoniske setningen/nøkkelen på en maskinvarebasert lommebok som Trezor eller Ledger. Disse lommebøkene fungerer fortsatt med programvarelommebøker som Metamask når de er fysisk tilkoblet via en USB-kabel ... men den beskytter nøklene mot angripere som kan få tilgang til disken din, sa Walbroehl.

Halborn har blitt belønnet med 50,000 XNUMX dollar. Lommebokleverandørene returnerte ikke umiddelbart forespørsler om kommentarer.

Få dagens beste kryptonyheter og innsikt levert til innboksen din hver kveld. Abonner på Blockworks sitt gratis nyhetsbrev nå.

Innlegget Sikkerhetstrussel utsatt for nettleserbaserte kryptolommebøker dukket først på Blokkverk.

• Myntsmart. Europas beste Bitcoin og Crypto Exchange.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
• CryptoHawk. Altcoin Radar. Gratis prøveperiode.
• Kilde: https://blockworks.co/security-threat-exposed-for-browser-based-crypto-wallets/