MAS:转发提醒 MetaMask小狐狸钱包安全公告 如何应对拓展程序潜在的私钥泄露_METAVICE币

Halborn研究人员发现了一个问题：极少数情况下，可以在硬盘上找到未加密的用户私匙，该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复

背景

Halborn安全研究人员披露了一个实例，发现在某些条件下，可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会影响MetaMask 移动端钱包用户，但会影响一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。了解该问题后，MetaMask已实施补救措施，目前对于使用10.11.3 及更高版本的MetaMask浏览器扩展钱包用户，风险已经解除。但如果您满足以下3个条件，仍可能面临风险，请阅读下文，采取后续步骤：

l 硬盘未加密

动态 | 孙宇晨转发“以太坊是垃圾币”推特，疑似抨击V神:比特币开发者Udi Wertheimer发推称，以太坊是迄今为止最具代表性的垃圾币。他们创造了“最大化主义”（maximalism）这个词，但Consensys正积极正积极地付钱给人们散布仇恨和错误信息。西方媒体为什么要给他们通行证，我无法理解。波场创始人孙宇晨随后转发了这条推特，疑似抨击V神。据悉，以太坊创始人V神昨日曾在推特批评波场，称其不诚实限制人才发展。[2020/2/8]

l 您将助记词导入了某个不信任的人的设备的MetaMask插件程序中，或者个人电脑已被入侵

l 导入过程中，您曾打开“显示助记词”选项，在屏幕上查看助记词。（如图所示）

动态 | Libra联合发起人转发促进区块链言论文章，此前曾表示中国会在数字支付领域获胜:Libra联合发起人、Calibra首席执行官David Marcus在推特转发了The Block发布的题为“中国国家主席希望该国在区块链领域占据领先地位”的文章。据此前报道， Marcus在接受采访时曾表示：“如果华盛顿决定封锁Libra，中国将会获胜。在建立覆盖全球的数字支付方面，北京处于领先地位。如果我们没有一个好的答案，那么在未来五年，中国将基本上重新连接世界的很大一部分，而数字人民币将在他们控制的区块链上运行。”[2019/10/26]

影响

这会影响到：

l 我们测试过的所有桌面操作系统和浏览器。

l 我们使用了Google Chrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。

SEC投资者交易和宣传办公室转发加密货币投资专题:刚刚，美国证券交易委员会投资者教育和宣传办公室发布《聚焦投资ICO和数字资产》专题，专题内整合了，从2013年-2018年的多篇相关报道。今年4月底，美国证券交易委员会（SEC）监管人员称SEC希望保护投资者免受ICO欺诈，但SEC允许以合法方式筹集资金。据此前外媒报道，SEC、CFTC将在7日讨论ETH是否为证券的问题，但目前官方网站并未公布相关活动直播地址，媒体称此次讨论会并不向公众开放，SEC、CFTC主席是否出席也未确认。[2018/5/7]

l 所有浏览器版本上的所有MetaMask插件钱包（v10.11.3之前）。

l MetaMask 移动端钱包不受影响。

助记词最终会被清除，但我们目前无法保证何时清除。

鄂尔多斯市互联网金融风险专项整治工作领导小组办公室关于转发《关于引导我区虚拟货币“挖矿”企业有序退出的通知》的通知:日前，为限制虚拟货币“挖矿”产业与实体经济无关的伪金融创新，鄂尔多斯市互联网金融风险专项整治工作领导小组发布了《关于引导我区虚拟货币“挖矿”企业有序退出的通知》，要求各区政府多措并举，综合采取电价、土地、税收和环保等措施，引导相关“挖矿”企业有序退出，鼓励转型到国家支持类的云计算企业。[2018/1/12]

该漏洞最有可能影响到将助记词导入MetaMask后不久，其设备就被入侵或被盗的用户。

如果您满足所有上述条件，那么能访问您导入助记词的电脑的人就有可能获得您的助记词，您最好将资金从相关帐户中迁移出去，以确保安全。我们在此提供了一份迁移账户资金指南，使用任何第三方迁移工具都需要您自担风险。

无论是可以直接使用还是通过恶意软件控制您的设备的人都可以利用此漏洞。而如果设备已被恶意软件入侵，您还可能面临许多其他我们无法防御的攻击（如键盘记录器、直接访问内存、控制程序等）。

如果认为自己面临风险

如果有不信任的人可以使用您的电脑，我们建议您启用全硬盘加密。而如果您的资金由硬件钱包管理，您将不受影响。

受影响的用户应考虑将资金从使用相关助记词生成的旧钱包账户转移至由新助记词生成的新账户。我们提供了一份指南来帮助有需要的用户执行此操作，并给出了可简化该流程的软件选择。

下文将提供更多详情，以及关于如何最好地保障钱包安全的建议。稍后我们将披露有关该问题性质的更多细节，以帮助其他软件开发人员避免这些问题。但目前，我们首先要-提醒用户，以最大程度地降低盗窃风险。

我的安全性如何？

如上文所述，如果一台电脑被入侵（能被他人使用或被恶意软件入侵），您将无法保障其中运行的任何程序的安全。

流行的密码管理器1Password团队探讨过这个问题。1Password首席安全架构师Jeffrey Goldberg解释了解决该问题的难度：“这个问题广为人知，并已被公开讨论过多次，但任何看似合理的补救方案都可能会成事不足败事有余。”

使用密码管理器可能比不使用要安全，但也难以完全避免这一问题的影响。

结论

MetaMask最终发现，密码加密功能的部分安全性受到了浏览器行为的破坏。由于浏览器本身认为物理访问攻击（他人访问相关设备）超出了威胁模型范畴，而钱包是建立在浏览器之上的，因此要缩减这种攻击面需要耗费大量人力，即便如此也难以完全消除风险。说到底，可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。

这是您本该预期的风险吗？这取决于您是否认为可以在硬盘上恢复助记词。如果您认为自己的电脑需要时刻保持安全，那么应该没问题。但如果您认为MetaMask密码能保证只要无法使用您电脑的人就无法提取您的帐户，恐怕就说不准了。

从更高的层面上，我们应该普遍预期计算机、浏览器等都会多多少少存储输入的文本内容，不论是暂时的还是永久的。鉴于保护助记词的重要性，我们需要对这个具体场景引起注意，以便让用户采取相应的行动。

幸运的是，密码似乎仍然提供了一定程度的安全性。我们发现助记词只有在非常特定的情况下才可能被提取出来。在Halborn等待披露的这段时间内，我们已经引入了新的保护措施，并计划实施更多措施。MetaMask将继续引入更多安全机制，以进一步降低风险。这意味着当您不使用钱包（或将电脑交给他人）时，给钱包上锁仍是一个好习惯。

1. 为电脑启用全硬盘加密。这是保障对您的电脑有物理访问权限的人无法提取所有内容的唯一方法。我们也建议使用硬件钱包提供额外的安全保障。

2. 清除浏览器缓存（我们的研究表明这样做能在某些情况下帮到某些用户）

3. 请牢记，确保电脑安全是您的责任。如果电脑系统被入侵，任何钱包或软件都无法保证安全。请花时间学习如何避免电脑被植入病。

MetaMask要感谢Halborn团队负责任地披露这一漏洞，并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授予了5万美元奖金。

撰文：Dan Finlay，MetaMask

翻译：王尔玉、PANews

标签：MASMETAMMETAMETMetaMask最新版本MetaMask钱包中文版METAVICE币MetaXHunter

XLM热门资讯