Il fornitore di criptovalute MetaMask ha segnalato una vulnerabilità che potrebbe interessare una porzione molto piccola dei suoi utenti. Scoperta dalla società di sicurezza blockchain Halborn, la vulnerabilità potrebbe consentire a un malintenzionato di impossessarsi della frase segreta di recupero di un utente che compromette i suoi fondi.
Lettura correlata | La Russia ancora vieta le criptovalute? Un disegno di legge per vietare le risorse digitali ha superato la prima lettura
Questa vulnerabilità interessa diversi portafogli crittografici Web e consente a un utente malintenzionato di estrarre una frase di ripristino segreta da un personal computer. Come accennato, la vulnerabilità non riguarda tutti gli utenti MetaMask, ma una piccolissima porzione.
Questo perché l'utente dovrà soddisfare 3 condizioni per essere soggetto a questo attacco: utilizzare un disco rigido non crittografato, l'utente avrebbe dovuto importare la frase di ripristino segreta dall'estensione Web MetaMask su un dispositivo compromesso, oppure utilizzare il estensione del portafoglio crittografico da un computer non protetto e utilizzare la casella di controllo "mostra frase di ripristino segreta" durante il processo di importazione.
Il provider di criptovalute ha preparato una guida alla migrazione per aiutare gli utenti a trasferire i propri fondi in un nuovo portafoglio. In tal senso, l'azienda ha consigliato agli utenti che soddisfano queste condizioni e agli utenti che ritengono che potrebbero soddisfarle di seguire la guida. Questo documento è reperibile al seguente link .
Gli utenti con l'intenzione di migrare a un nuovo portafoglio dovrebbero avere fondi sufficienti per pagare le commissioni del gas richieste, ha affermato il fornitore del portafoglio. Queste commissioni possono "diventare costose" a seconda dei fondi dell'utente e degli smart contract "che immagazzinano o gestiscono tali risorse".
Le risorse secondo gli standard Ethereum ETC-20, ERC-721 (NFT) ed ERC-1155 dovrebbero essere una priorità. Il fornitore del portafoglio ha avvertito:
Se il tuo account è stato compromesso, è possibile che sul tuo account sia stato posizionato un bot sweeper. In questo caso, non appena trasferisci i token, questi potrebbero essere trasferiti all'indirizzo dell'attaccante.
I tuoi fondi MetaMask sono al sicuro?
Come chiarito da MetaMask, la vulnerabilità non riguarda gli utenti mobili, ma solo gli utenti su macOS, Linux e Windows che utilizzano Google Chrome, Firefox o browser Web basati su Chromium. L'azienda ha implementato una "mitigazione" per questa vulnerabilità.
In tal senso, a tutti gli utenti è stato chiesto di aggiornare i propri portafogli crittografici alla versione 10.11.3. Gli utenti sono stati inoltre incoraggiati a contattare il supporto MetaMask per qualsiasi ulteriore assistenza o informazione.
La società ha premiato Halborn con una taglia di $ 50.000. Due giorni fa, il portafoglio crittografico fornito ha lanciato un programma di ricompense chiamato HackerOne per "lavorare con la comunità della sicurezza per trovare vulnerabilità nel portafoglio e stare al passo con le minacce Web3".
Il programma è stato lanciato con 4 livelli di sicurezza con ricompense diverse. Le scoperte a bassa sicurezza verranno pagate per un totale di $ 1.000, medie $ 2.000, alte $ 15.000 e critiche, come la vulnerabilità sopra descritta, verranno pagate $ 50.000 per qualsiasi scoperta.
Lettura correlata | I possessori di bitcoin devono rimanere prudenti mentre la correlazione con le azioni continua
Al momento della scrittura, Ethereum (ETH) viene scambiato a $ 1.180 con una perdita del 3% sul grafico a 4 ore.
