Tại sao lỗ hổng MetaMask này có thể gây nguy hiểm cho tiền của bạn

Nhà cung cấp ví tiền điện tử MetaMaskbáo cáo một lỗ hổng có thể ảnh hưởng đến một phần rất nhỏ người dùng của nó. Được phát hiện bởi công ty bảo mật chuỗi khối Halborn, lỗ hổng này có thể cho phép kẻ xấu chiếm hữu cụm từ khôi phục bí mật của người dùng làm tổn hại đến tiền của anh ta.

Bài đọc liên quan | Nga Vẫn Cấm Tiền Điện Tử? Dự luật cấm tài sản kỹ thuật số đã được thông qua lần đọc đầu tiên

Lỗ hổng này ảnh hưởng đến một số ví tiền điện tử trên web và cho phép kẻ tấn công trích xuất cụm từ khôi phục bí mật từ máy tính cá nhân. Như đã đề cập, lỗ hổng không ảnh hưởng đến tất cả người dùng MetaMask mà chỉ ảnh hưởng đến một phần rất nhỏ.

Điều này là do người dùng sẽ cần đáp ứng 3 điều kiện để bị tấn công: sử dụng ổ cứng không được mã hóa, người dùng sẽ phải nhập cụm từ khôi phục bí mật từ tiện ích mở rộng web MetaMask sang thiết bị bị xâm nhập hoặc đang sử dụng tiện ích mở rộng ví tiền điện tử từ một máy tính không bảo mật và sử dụng hộp kiểm “hiển thị cụm từ khôi phục bí mật” trong quá trình nhập.

Nhà cung cấp ví tiền điện tử đã chuẩn bị một hướng dẫn di chuyển để hỗ trợ người dùng chuyển tiền của họ sang ví mới. Theo nghĩa đó, công ty đã khuyến nghị những người dùng đáp ứng các điều kiện này và những người dùng tin rằng có thể đáp ứng chúng, hãy làm theo hướng dẫn. Tài liệu này có thể được tìm thấy ở sauliên kết .

Nhà cung cấp ví cho biết người dùng có ý định chuyển sang ví mới phải có đủ tiền để thanh toán phí gas bắt buộc. Các khoản phí này có thể “trở nên tốn kém” tùy thuộc vào số tiền của người dùng và các hợp đồng thông minh “lưu trữ hoặc quản lý các tài sản đó”.

Các tài sản theo tiêu chuẩn Ethereum ETC-20, ERC-721 (NFT) và ERC-1155 nên được ưu tiên. Nhà cung cấp ví đã cảnh báo:

Nếu tài khoản của bạn đã bị xâm phạm, có thể bạn đã đặt một bot quét trên tài khoản của mình. Nếu đây là trường hợp, thì ngay sau khi bạn chuyển mã thông báo vào, chúng có thể được chuyển đến địa chỉ của kẻ tấn công.

Tiền MetaMask của bạn có an toàn không?

Như MetaMask đã làm rõ, lỗ hổng này không ảnh hưởng đến người dùng thiết bị di động của họ mà chỉ ảnh hưởng đến người dùng trên macOS, Linux và Windows sử dụng các trình duyệt web dựa trên Google Chrome, Firefox hoặc Chromium. Công ty đã thực hiện một "giảm thiểu" cho lỗ hổng này.

Theo nghĩa đó, tất cả người dùng được yêu cầu cập nhật ví tiền điện tử của họ lên phiên bản 10.11.3. Người dùng cũng được khuyến khích liên hệ với bộ phận Hỗ trợ MetaMask để được hỗ trợ hoặc cung cấp thêm thông tin.

Công ty đã trao cho Halborn số tiền thưởng 50.000 đô la. Hai ngày trước, ví tiền điện tử được cung cấpđưa ra một chương trình tiền thưởng có tên HackerOne để “làm việc với cộng đồng bảo mật để tìm ra các lỗ hổng trong ví và vượt qua các mối đe dọa Web3”.

Chương trình đã được đưa ra với 4 tầng bảo mật với các khoản tiền thưởng khác nhau. Phát hiện bảo mật thấp sẽ được trả tổng cộng 1.000 đô la, trung bình 2.000 đô la, cao 15.000 đô la và nghiêm trọng, như lỗ hổng được mô tả ở trên, sẽ được trả 50.000 đô la cho bất kỳ khám phá nào.

Bài đọc liên quan | Những người nắm giữ bitcoin vẫn thận trọng khi mối tương quan với cổ phiếu tiếp tục

Tại thời điểm viết bài, Ethereum (ETH) giao dịch ở mức $1.180 với mức lỗ 3% trên biểu đồ 4 giờ.