安全指南：如何防御MetaMask瀏覽器錢包漏洞？_TAMA

原文標題：《一文了解如何免受 MetaMask 瀏覽器錢包安全漏洞的影響》

注：北京時間 6 月 16 日凌晨，ConsenSys 開發者 Dan Finlay?披露了 MetaMask 瀏覽器擴展錢包存在的安全漏洞，這可能導致一小部分用戶的錢包資金面臨被盜風險，對此問題，他給出了一些安全建議。

Halborn 的研究人員發現了一種情況，即在極少數情況下可以在磁盤上發現未加密的用戶密鑰，該問題已經在 10.11.3 版本的 MetaMask 瀏覽器擴展錢包以及更高版本的錢包中得到了修復。

Halborn 的安全研究人員披露了一個實例，在某種情況下，可以從被攻擊的計算機磁盤中提取 MetaMask 等 Web 錢包使用的助記詞短語。

StaFi：Curve上rETH池不依賴于Vyper版本且未受影響，用戶資金安全:7月31日消息，DeFi協議StaFi發推稱，Curve上rETH池不依賴于Vyper版本且未受影響。rETH/ETH和rETH/frxETH池不受Curve事件影響。資金池不依賴于Vyper版本，用戶資金是安全的。[2023/7/31 16:09:04]

以下內容不會影響 MetaMask 移動端錢包用戶，而只會影響一小部分 MetaMask 瀏覽器擴展用戶以及其他瀏覽器/擴展錢包用戶。我們已經針對這些問題實施了緩解措施，因此對于 10.11.3 版本以及更高版本的 MetaMask 瀏覽器擴展錢包用戶來說，這些不應該是問題。注意，如果以下三個條件都適用于你，那你的錢包可能會面臨風險，你應該閱讀以下內容了解后續步驟：

你的硬盤未加密；你已經將助記詞短語導入到設備上的 MetaMask 瀏覽器擴展錢包中，而該設備由你不信任的人擁有，或者你的計算機已經被黑。在導入過程中，你使用了「顯示助記詞短語」（Show Secret Recovery Phrase）復選框在屏幕上查看你的助記詞。（如下圖所示）

美國眾議院國土安全委員會主席要求Twitter CEO回答舉報人的指控:金色財經報道，美國眾議院國土安全委員會主席Bennie Thompson和美國眾議院議員Yvette Clarke在周四的信中，要求Twitter首席執行官Parag Agrawal處理“令人不安的關于不良安全和隱私做法的舉報人指控”。

他們要求Twitter詳細說明其為2022年選舉所做的準備，并回答Twitter前安全主管Peiter Zatko提出的關于該社交媒體公司誤導監管機構的指控。（路透社）

此前消息，Peiter Zatko已向美國聯邦貿易委員會、美國證券交易委員會和美國司法部提交了舉報人投訴并在長達84頁的投訴文件中提到這家社交媒體巨頭在安全實踐中存在重大漏洞，而且在安全、隱私和內容審核方面存在“極端、嚴重的缺陷”。[2022/8/26 12:49:04]

分析 | 美國數州安全漏洞事件頻發 區塊鏈或是一劑良藥:據CCN 7月7日消息，美國馬里蘭州勞工部近期宣布，其數據庫中的安全漏洞可能暴露了大約78,000人的敏感和個人數據。該機構表示，該漏洞發生在今年早些時候，誘因為9名員工遭受了網絡釣魚攻擊。無獨有偶，6月下旬，俄勒岡州民政服務部（DHS）也發生了類似的數據泄露事件，當時有50多萬人的個人數據遭到泄露。 分析指出，此類事件或可利用區塊鏈技術予以解決，該技術在網絡安全領域非常有前景。不同的美國機構已經認識到該技術在提高數據存儲安全性方面的潛力。今年早些時候，NASA發表了一篇論文，探索區塊鏈在空中交通管理、安全、認證和隱私方面的可能應用。與此同時，正在試驗分布式賬本技術（DLT）在網絡安全和防止詐騙方面應用的其他司法管轄區包括中國、馬恩島和愛沙尼亞等。[2019/7/7]

這會影響：

現場 | Block stream首席戰略官繆永權：區塊鏈代碼質量和安全質量有待提高:金色財經現場報道，今日，2018中國國際區塊鏈產業融合峰會暨區塊鏈產品與應用展在石家莊舉行，Block stream首席戰略官繆永權提到，區塊鏈具備去中心化、數據分散、不可篡改、自主確權的特點，但區塊鏈目前是低效的，代碼質量和安全質量也有待提高。復制數據并讓數據保持一致具有高延遲性，目的是為了避免某些攻擊；高吞吐量犧牲了重要的質量。他認為，目前的私有鏈并沒有抓住要點，體現在數據可以被網絡管理員修改；由于網絡封閉，數據不可驗證、復制性差等。[2018/9/21]

1、我們測試過的所有桌面操作系統以及瀏覽器；

2、我們使用 Google Chrome、Chromium 和 Firefox 瀏覽器在 Windows、macOS 和 Linux 上進行了測試；

3、所有瀏覽器版本上的所有版本 MetaMask 擴展（v10.11.3 之前）錢包。

但這個漏洞不會影響 MetaMask 移動端錢包。

助記詞短語最終會被清除，但我們目前無法保證何時清除。

該漏洞最有可能影響那些在將助記詞導入 MetaMask 后不久，設備就遭到入侵或被盜的用戶。

如果你符合上述的所有條件，那那些有權訪問你計算機的人，就可能會拿到你的助記詞短語，因此你可能需要考慮從這些賬戶中將資金轉移出去以確保安全。我們準備了一份遷移賬戶資金的指南，使用任何第三方遷移工具都需要自行承擔風險。

注意，可以物理訪問你的計算機的人或惡意軟件可能會利用此漏洞進行攻擊，而如果你的設備受到惡意軟件的攻擊，那有些攻擊是無法進行防御的（例如鍵盤記錄器、直接內存訪問和程序控制）。

如果你的計算機有可能受到你不信任的人的影響，我們建議你在系統上啟用「全磁盤加密」。此外，如果你的資金是由一個硬件錢包管理，那你不會受到該漏洞的影響。

受影響的用戶應考慮將資金從舊錢包賬戶轉移到新的錢包賬戶地址。

本文檔的其余部分將提供一些額外的詳細信息，以及有關如何最好地保護你的錢包安全的建議。稍后，我們將披露有關問題性質的更多細節，以便其他軟件開發人員可以自己避免這些問題，但目前我們會先提醒用戶，以最大程度地降低盜竊風險。

如上文所述，如果你的計算機受到了威脅（無論是物理威脅還是惡意軟件），你都無法確定在該計算機上運行的任何程序的安全性。

這是流行的密碼管理器 1 Password 團隊已經承認并討論過的問題，1 Password 的首席安全架構師 Jeffrey Goldberg 解釋過要解決該問題的困難之處，他說：

「這是一個眾所周知的問題，之前該問題已經被公開討論過很多次，但任何看似合理的解決方案都可能比問題本身更糟糕。」

如果你使用的是密碼管理器，那么你可能會比不使用密碼管理器的人更安全一些，但即使是用了密碼管理器，也無法避免漏洞問題。

最終我們了解到，我們的密碼加密功能的安全性，部分會受到瀏覽器行為的破壞。由于瀏覽器本身認為物理訪問攻擊超出了其威脅模型，而我們當前的錢包是建立在瀏覽器之上的，因此事實證明，減少這種攻擊面的規模需要耗費大量人力，而且可能無法完全消除這種攻擊。最終，很可能只有「全磁盤加密」才能為你的計算機提供強大的物理計算機訪問安全性。

一般來說，計算機/瀏覽器等應該在某種程度上暫時或永久地存儲文本輸入。然而，由于保護你的助記詞短語的安全性有多么重要，因此需要注意此特定場景，以便用戶可以采取相應的行動。

幸運的是，密碼似乎仍然提供了一定程度的安全性。我們發現，只有在非常特定的情況下才能提取助記詞短語，并且我們已經能夠在 Halborn 等待披露的時間段內引入新的保護措施，并且我們計劃實施更多的保護措施，以進一步降低這種風險。這意味著如果你不使用自己的錢包（或將你的計算機交給其他人），鎖定錢包仍然是一個好習慣。

一些重要的事：

1、請花點時間在你的計算機上啟用全盤加密。這是確保你的計算機不會被具有物理訪問權限的人提取其所有內容的唯一方法。我們還建議用戶使用硬件錢包作為額外的安全措施。

2、清除你的瀏覽器緩存數據（我們的研究表明，這在某些情況下可能對某些用戶有所幫助）

3、請記住，確保計算機安全是你的責任，如果運行它的系統受到威脅，任何錢包或軟件都無法保證自身的安全，花點時間學習如何讓計算機避免惡意軟件。

Tags：TAMAMETTAMMASKMetaMask下載METAGS幣Latam Cashmetamask錢包app下載官方

火必交易所