背景概述
2022年6月3日,MetaMask公开了白帽子发现的一个严重的Clickjacking漏洞,这个漏洞可以造成的影响是:在用户的MM插件钱包处于解锁状态,用户访问恶意的站点时,站点可以利用iframe标签将解锁的MM插件钱包页面嵌入到网页中并进行隐藏,然后引导用户在网站上进行点击操作,实际上是在MM解锁的页面中进行操作,从而盗取用户的数字货币或藏品等相关资产。鉴于MM的用户体量较大,且ForkMetaMask插件钱包的项目也比较多,因此在MM公开这个漏洞后,我们立即开始对这个漏洞进行复现,然后开始搜寻这个漏洞对于其他ForkMetaMask项目的影响。
随后,慢雾安全团队尽可能地通知受到影响的项目方,并引导项目方进行修复。现在将这个Clickjacking漏洞的分析公开出来避免后续的项目踩坑。
漏洞分析
由于MM在发布这个Clickjacking漏洞的时候并没有详细的说明,仅是解释了这个漏洞的利用场景以及能够产生的危害,所以我在进行复现的时候也遇到了挺多坑,所以为了让大家能够更好地顺畅地理解整个漏洞,我在进行漏洞分析之前先补充下一个知识点。
Gameta宣布将率先对Apple Vision Pro进行支持:6月8日消息,Web3 NFT娱乐平台Gameta近日宣布旗下娱乐产品将率先支持Apple Vision Pro,并全面支持手势操作、眼动追踪等空间计算特性。[2023/6/8 21:23:36]
我们来了解下Manifest-WebAccessibleResources。在浏览器扩展钱包中有这么一个配置:web_accessible_resources,其用来约束Web页面能够访问到浏览器扩展的哪些资源,并且在默认的情况下是Web页面访问不到浏览器扩展中的资源文件,仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是http/https等协议下的页面默认是没法访问到chrome-extension,当然如果扩展钱包配置了web_accessible_resources将扩展钱包内部的资源暴露出来,那么就能被http/https等协议下的页面访问到了。
MetisDAO 基金会宣布启动“Metis Marathon”建设者激励计划:7月28日消息,MetisDAO 基金会宣布“Metis Marathon”启动为期 26 周的建设者激励计划。该计划的首位参赛者是 Sushiswap,未来几周内会宣布另两个参与协议。除此外,其它参与的小型、中型和大型协议都可能受到奖励,并有机会申请赠款和资助。
MetisDAO 表示,此举旨在激励 Metis 生态系统的发展,除了引入 一些 TVL 头部的 DeFi 协议外 ,还将通过直接激励 Metis 中具有创新性的原生 DApp 来拓展生态。[2022/7/28 2:43:10]
而MM扩展钱包在10.14.6之前的版本一直保留着"web_accessible_resources":的配置,而这个配置是漏洞得以被利用的一个关键点。
去中心化游戏工作室MetaXSeed将在Polygon上发布:2月12日消息,去中心化游戏工作室和Launchpad MetaXSeed发推称,将在Polygon上发布。[2022/2/12 9:47:40]
然而在进行漏洞分析的时候,发现在app/scripts/phishing-detect.js(v10.14.5)中已经对钓鱼页面的跳转做了协议的限制。。
我们继续跟进这个协议限制的改动时间点,发现是在如下这个commit中添加了这个限制,也就是说在v10.14.1之前由于没有对跳转的协议进行限制,导致Clickjacking漏洞可以轻易被利用。
MetaMask扩展版在Rinkeby测试网上完成其首笔兼容EIP-1559的交易:MetaMask表示,其扩展版在以太坊Rinkeby测试网上完成其首笔兼容EIP-1559的交易,交易哈希值为0x6321a6059fc2b204c606c37c3bf62d294225a6d7c85adb9a2fbcfeb9dc65f33a。移动版在Ropsten完成其首笔兼容EIP-1559的交易,交易哈希为
0xa4a0d866bd1125626d1a400f8f8cc9d58673824ce6dc6a9c0ba38de2e0ebdb2c。[2021/7/15 0:54:18]
相关的commit:
https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490
https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1
Razor Network上线ComethSwap,质押LP代币可获得MUST代币奖励:4月19日消息,去中心化预言机协议Razor Network宣布已上线ComethSwap,用户可以通过质押RAZOR/WETH的流动性代币(LPToken),以获得Cometh Swap的MUST代币奖励。[2021/4/19 20:36:47]
为了验证代码的分析过程,我们切换到protocol限制之前的版本v10.14.0进行测试,发现可以轻松复现整个攻击过程。
但是在MM公开的报告中也提到,Clickjacking漏洞是在v10.14.6进行了修复,所以v10.14.5是存在漏洞的,再继续回头看这里的猜想。。
经过反复翻阅代码,在v10.14.5以及之前版本的代码,会在钓鱼页面提示的时候,如果用户点击了continuingatyourownrisk.之后就会将这个hostname加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现MetaMaskPhishingDetection的提醒。
比如这个钓鱼网站:ethstake.exchange,通过iframe标签将钓鱼网站嵌入到网页中,然后利用Clickjacking漏洞就能将恶意的钓鱼网站加入到白名单中,同时在用户下一次访问钓鱼网站的时候MM不会再继续弹出警告。
分析结论
如上述的分析过程,其实MM近期修复的是两个Clickjacking漏洞,在复现过程中发现最新的v10.14.6已经将web_accessible_resources的相关配置移除了,彻底修复了MetaMaskPhishingDetection页面的点击劫持的问题。
利用Clickjacking漏洞诱导用户进行转账的修复:
https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490
利用Clickjacking漏洞将钓鱼网站加入到白名单的修复:
https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96
慢雾安全团队对chrome扩展商店中的各个知名的扩展钱包进行了Clickjacking的漏洞检测,发现如下的钱包受到Clickjacking漏洞影响:
CoinbaseWallet(v2.17.2)
Coin98Wallet(v6.0.6)
MaiarDeFiWallet(v1.2.17)
慢雾安全团队第一时间联系项目方团队,但是到目前为止部分项目方还未反馈,并且MM公开这个漏洞至今已经过去了11天。为了避免用户因为该漏洞遭受损失,慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。
慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于MetaMask
慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包,等待钱包官方发布修复版本后,用户可以及时更新到已修复的版本进行使用。
标签:METETAMETAMASKmetamask官网下载地址METAGINmetaMask已被禁用metamask钱包被怎么办
自互联网早期以来,我们今天居住的数字空间已经发生了很大的变化。下一个重大的进化转变正在迅速展开,许多世界上较大的科技公司宣布他们打算开创所谓的“元宇宙”.
1900/1/1 0:00:00中国人民银行对数字人民币的推出采取了积极审慎的态度,从2014年开始,中国人民银行成立专门团队对数字货币进行专项研究,2019年底,数字人民币相继在几个地区开始试点.
1900/1/1 0:00:00合并(TheMerge)Ropsten测试网合并非常成功DannyRyan对Ropsten合并进行了总结,他认为Ropsten合并非常成功,并表示如果主网合并是这样的表现,他会高兴得跳起来.
1900/1/1 0:00:00元治理活动正迅速成为加密货币生态系统的主流,DAO们可以通过利用其他DAO的技术和资源,达到超强的增长和价值创造的最佳战略.
1900/1/1 0:00:00摘?要:金融科技是技术驱动的金融创新,在提升金融业质效的同时伴随着大量风险,引发监管忧虑。虚拟货币及其背后的区块链技术是金融科技的创新代表.
1900/1/1 0:00:006月17日,DeFi分析师otteroooo发推表示,数字资产抵押借贷平台BlockFi将有99%的概率在2022年底发生流动性危机,并称,由于Celsius以及三箭资本事件.
1900/1/1 0:00:00