Il 15 giugno, diverse società che forniscono portafogli crittografici, nonché l'azienda cybersec responsabile della ricerca di exploit, hanno annunciato l'esistenza e la successiva correzione di un problema di sicurezza che interessa i portafogli basati su estensioni del browser.
La vulnerabilità, nome in codice "Demonic", è stata scoperta dai ricercatori di sicurezza di Halborn, che lo scorso anno si sono rivolti alle aziende interessate. Ora hanno reso pubbliche le loro scoperte, avendo consentito alle parti interessate di risolvere il problema in anticipo nel tentativo di limitare i danni agli utenti finali.
Metamask, xDEFI, Brave e Phantom Affected
L'exploit demoniaco, ufficialmente chiamato CVE-2022-32969, è stato originariamente scoperto da Halborn nel maggio 2021. Ha colpito i portafogli utilizzando i mnemonici BIP39, consentendo alle frasi di ripristino di essere intercettate da malintenzionati da remoto o utilizzando dispositivi compromessi, portando infine a un'acquisizione ostile del portafoglio.
Tuttavia, l'exploit necessitava di una sequenza di eventi molto specifica.
Per iniziare, questo problema non ha interessato i dispositivi mobili. Solo i proprietari di portafogli che utilizzavano dispositivi desktop non crittografati erano vulnerabili e avrebbero dovuto importare la frase di ripristino segreta da un dispositivo compromesso. Infine, sarebbe stato necessario utilizzare l'opzione "Mostra frase di ripristino segreta".
Halborn riceve un'importante taglia di sicurezza da @MetaMask per Critical Discovery
Abbiamo rivelato una vulnerabilità critica che interessa @MetaMask , @Brave ,@Phantom , @xdefi_wallet e altri portafogli crittografici basati su browser – Brevesulla vulnerabilità e come proteggerla
voi stessi:
— Halborn (@HalbornSecurity) 15 giugno 2022
Halborn ha prontamente contattato le quattro società ritenute in pericolo dall'exploit e il lavoro è iniziato in segreto per risolvere il problema prima che potesse essere scoperto dagli hacker black hat.
“A causa della gravità della vulnerabilità e del numero di utenti interessati, i dettagli tecnici sono stati mantenuti riservati fino a quando non è stato possibile fare uno sforzo in buona fede per contattare i fornitori di portafogli interessati.
Ora che i fornitori di portafogli hanno avuto l'opportunità di risolvere il problema e migrare i propri utenti per proteggere le frasi di ripristino, Halborn fornisce dettagli approfonditi per aumentare la consapevolezza della vulnerabilità e aiutare a prevenire simili in futuro".
Problema risolto, Vigilantes premiati
Lo sviluppatore di Metamask Dan Finlay ha pubblicato un post sul blog in cui esortava gli utenti ad aggiornare all'ultima versione del portafoglio per beneficiare della patch, il che annulla il problema. Finlay ha anche chiesto loro di prestare attenzione alla sicurezza in generale, mantenendo i dispositivi crittografati in ogni momento.
Il post sul blog ha anche annunciato il pagamento di $ 50.000 ad Halborn per la scoperta della vulnerabilità come parte del programma di ricompense dei bug di Metamask, che paga somme comprese tra $ 1.000 e $ 50.000, a seconda della gravità.
Phantom ha anche rilasciato una dichiarazione in merito, confermando che la vulnerabilità è stata corretta per i suoi utenti entro aprile 2022. La società ha anche accolto Oussama Amri, l'esperto dietro la scoperta di Halborn, nel team di cybersec di Phantom.
1/ A partire da aprile 2022, gli utenti Phantom sono protetti dalla vulnerabilità critica "Demonic" nelle estensioni del browser crittografico.
Un'altra patch esaustiva verrà lanciata la prossima settimana che riteniamo renderà@Phantom il più sicuro da "Demonic" nel settore. https://t.co/bKE1olpzng
— Fantasma (@fantasma) 15 giugno 2022
Tutte le parti coinvolte hanno esortato gli utenti interessati ad assicurarsi di aver eseguito l'aggiornamento all'ultima versione del portafoglio e a contattare i rispettivi team di sicurezza per eventuali problemi aggiuntivi.