Pada hari Rabu, MetaMask mengatakan bahwa dengan bantuan peneliti keamanan di Halborn, MetaMask menemukan kelemahan keamanan kritis dalam versi lama dari dompet terenkripsinya. Perusahaan keamanan dianugerahi hadiah $ 50.000 untuk penemuan tersebut.
Untuk pengguna ekstensi MetaMask sebelum 10.11.3, tiga prasyarat menyebabkan potensi kerentanan. Ini adalah: (1) hard drive yang tidak terenkripsi, (2) frase pemulihan rahasia yang telah diimpor ke ekstensi MetaMask pada perangkat yang telah disusupi, dicuri, atau diakses tanpa otorisasi, dan (3) The "Show Secret Recovery Kotak centang Frasa" digunakan untuk melihat Frasa Pemulihan Rahasia seseorang di layar selama proses impor.
"Kami baru menemukan bahwa mnemonik pemulihan rahasia dapat diekstraksi dalam keadaan yang sangat spesifik, dan sementara Halborn menunggu pengungkapan, kami dapat memperkenalkan perlindungan baru."
Rupanya, kerentanan tersebut memengaruhi versi dompet MetaMask untuk semua versi browser sebelum pembaruan 10.11.3, dan semua sistem operasi yang memenuhi ketiga syarat tersebut, tetapi bukan versi seluler.
MetaMask memperingatkan pengguna yang terkena dampak untuk mentransfer dana dari dompet yang disusupi. Namun, perlu diingat bahwa ketiga syarat ini harus dipenuhi agar kerentanan dapat aktif di MetaMask versi lama.