METAM:安全指南：如何防御MetaMask浏览器钱包漏洞？_ETA

原文标题：《一文了解如何免受 MetaMask 浏览器钱包安全漏洞的影响》

注：北京时间 6 月 16 日凌晨，ConsenSys 开发者 Dan Finlay?披露了 MetaMask 浏览器扩展钱包存在的安全漏洞，这可能导致一小部分用户的钱包资金面临被盗风险，对此问题，他给出了一些安全建议。

Halborn 的研究人员发现了一种情况，即在极少数情况下可以在磁盘上发现未加密的用户密钥，该问题已经在 10.11.3 版本的 MetaMask 浏览器扩展钱包以及更高版本的钱包中得到了修复。

Halborn 的安全研究人员披露了一个实例，在某种情况下，可以从被攻击的计算机磁盘中提取 MetaMask 等 Web 钱包使用的助记词短语。

安全团队：稳定币DEI被盗资金目前存在黑客地址:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年5月6日，DEI项目遭到攻击总共约损失超600万美元，被盗资金目前存在黑客地址。

Beosin安全团队分析原因是DEI代币合约中存在一个burnFrom函数，该函数在获取用户授权值的时候，将两个地址参数写反，导致获取的授权值为黑客可操控的值。扣除销毁数量后，函数将授权值更新为了一个错误的授权值，使得黑客可以直接将pair中的DEI代币转移出去并将稳定币兑换出来。

BSC交易：0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

Arbitrum交易：

0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef[2023/5/6 14:46:00]

以下内容不会影响 MetaMask 移动端钱包用户，而只会影响一小部分 MetaMask 浏览器扩展用户以及其他浏览器/扩展钱包用户。我们已经针对这些问题实施了缓解措施，因此对于 10.11.3 版本以及更高版本的 MetaMask 浏览器扩展钱包用户来说，这些不应该是问题。注意，如果以下三个条件都适用于你，那你的钱包可能会面临风险，你应该阅读以下内容了解后续步骤：

币安全资收购日本合规交易所Sakura Exchange BitCoin，进入日本市场:11月30日消息，币安宣布收购日本加密资产交易平台服务提供商Sakura Exchange BitCoin（SEBC）100%股权，正式进入日本市场，并接受日本金融厅（JFSA）监管。收购后币安将通过SEBC在日本提供合规服务，以推动在全球范围内建立起负责任的加密资产发展环境。

币安日本总经理Takeshi Chino表示，在未来的加密资产普及进程中，日本市场将起到关键作用。我们将积极与监管机构合作，以合规的方式为本地用户打造一个全新的交易平台。币安渴望助力日本成为加密资产行业的领导者。[2022/11/30 21:12:20]

你的硬盘未加密；你已经将助记词短语导入到设备上的 MetaMask 浏览器扩展钱包中，而该设备由你不信任的人拥有，或者你的计算机已经被黑。在导入过程中，你使用了「显示助记词短语」（Show Secret Recovery Phrase）复选框在屏幕上查看你的助记词。（如下图所示）

拜登本月将召开30国大会，讨论应对勒索软件对国家安全威胁:10月2日消息，美国总统拜登在与CNN独家分享的声明中说，白宫将在本月召开一次30国会议，试图加强全球努力以应对勒索软件对经济和国家安全的威胁。根据声明，拜登将宣布该联盟的目标是“加快我们在打击网络犯罪方面的合作，改善执法协作，阻止加密货币的非法使用，并寻求外交手段解决这些问题”。（CNN）[2021/10/2 17:20:56]

这会影响：

1、我们测试过的所有桌面操作系统以及浏览器；

2、我们使用 Google Chrome、Chromium 和 Firefox 浏览器在 Windows、macOS 和 Linux 上进行了测试；

加密社交交易平台HedgeTrade与Bluzelle合作以提高平台安全性:加密社交交易平台HedgeTrade宣布与Bluzelle建立新的合作伙伴关系，将为其用户提供区块链互操作的交易工具。通过这次合作，HedgeTrade平台将能够使用Bluezelle的网络以去中心化的方式存储、管理和分析数据，从而提高平台的运行时间和安全性。（Coin Journal）[2020/7/29]

3、所有浏览器版本上的所有版本 MetaMask 扩展（v10.11.3 之前）钱包。

但这个漏洞不会影响 MetaMask 移动端钱包。

助记词短语最终会被清除，但我们目前无法保证何时清除。

该漏洞最有可能影响那些在将助记词导入 MetaMask 后不久，设备就遭到入侵或被盗的用户。

如果你符合上述的所有条件，那那些有权访问你计算机的人，就可能会拿到你的助记词短语，因此你可能需要考虑从这些账户中将资金转移出去以确保安全。我们准备了一份迁移账户资金的指南，使用任何第三方迁移工具都需要自行承担风险。

注意，可以物理访问你的计算机的人或恶意软件可能会利用此漏洞进行攻击，而如果你的设备受到恶意软件的攻击，那有些攻击是无法进行防御的（例如键盘记录器、直接内存访问和程序控制）。

如果你的计算机有可能受到你不信任的人的影响，我们建议你在系统上启用「全磁盘加密」。此外，如果你的资金是由一个硬件钱包管理，那你不会受到该漏洞的影响。

受影响的用户应考虑将资金从旧钱包账户转移到新的钱包账户地址。

本文档的其余部分将提供一些额外的详细信息，以及有关如何最好地保护你的钱包安全的建议。稍后，我们将披露有关问题性质的更多细节，以便其他软件开发人员可以自己避免这些问题，但目前我们会先提醒用户，以最大程度地降低盗窃风险。

如上文所述，如果你的计算机受到了威胁（无论是物理威胁还是恶意软件），你都无法确定在该计算机上运行的任何程序的安全性。

这是流行的密码管理器 1 Password 团队已经承认并讨论过的问题，1 Password 的首席安全架构师 Jeffrey Goldberg 解释过要解决该问题的困难之处，他说：

「这是一个众所周知的问题，之前该问题已经被公开讨论过很多次，但任何看似合理的解决方案都可能比问题本身更糟糕。」

如果你使用的是密码管理器，那么你可能会比不使用密码管理器的人更安全一些，但即使是用了密码管理器，也无法避免漏洞问题。

最终我们了解到，我们的密码加密功能的安全性，部分会受到浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了其威胁模型，而我们当前的钱包是建立在浏览器之上的，因此事实证明，减少这种攻击面的规模需要耗费大量人力，而且可能无法完全消除这种攻击。最终，很可能只有「全磁盘加密」才能为你的计算机提供强大的物理计算机访问安全性。

一般来说，计算机/浏览器等应该在某种程度上暂时或永久地存储文本输入。然而，由于保护你的助记词短语的安全性有多么重要，因此需要注意此特定场景，以便用户可以采取相应的行动。

幸运的是，密码似乎仍然提供了一定程度的安全性。我们发现，只有在非常特定的情况下才能提取助记词短语，并且我们已经能够在 Halborn 等待披露的时间段内引入新的保护措施，并且我们计划实施更多的保护措施，以进一步降低这种风险。这意味着如果你不使用自己的钱包（或将你的计算机交给其他人），锁定钱包仍然是一个好习惯。

一些重要的事：

1、请花点时间在你的计算机上启用全盘加密。这是确保你的计算机不会被具有物理访问权限的人提取其所有内容的唯一方法。我们还建议用户使用硬件钱包作为额外的安全措施。

2、清除你的浏览器缓存数据（我们的研究表明，这在某些情况下可能对某些用户有所帮助）

3、请记住，确保计算机安全是你的责任，如果运行它的系统受到威胁，任何钱包或软件都无法保证自身的安全，花点时间学习如何让计算机避免恶意软件。

标签：METAMETAmetamaskMETmetamask安卓版MetaxizMetaMask钱包官网ethylmethylketone

TUSD热门资讯