У криптогаманцях Brave, Metamask, Phantom виправили «демонічну» вразливість


11:37 AM, June 17 2022
У криптогаманцях Brave, Metamask, Phantom виправили «демонічну» вразливість

15 червня кілька компаній-виробників криптовалютних кошельків, а також фірма Cybersec, що займається пошуком експлойтів, об’явили про проблеми безпеки, які впливають на криптовалютні веб-гаманці.

Вразливість під кодовою назвою «Demonic» виявили дослідники безпеки з компанії Halborn, які звернулися до постраждалих компаній минулого року. Тепер вони оприлюднили свої висновки, дозволивши постраждалим сторонам заздалегідь вирішити проблему, щоб обмежити збитки кінцевих користувачів.

Експлойт Demonic, офіційно названий CVE-2022-32969, спочатку був виявлений Halborn ще в травні 2021 року. Він атакував гаманці з використанням мнемонік BIP39, дозволяючи зловмисникам віддалено або з використанням зламаних пристроїв перехоплювати фрази відновлення, що зрештою призводило до злому гаманця. Проте для експлойту була потрібна дуже специфічна послідовність подій.

Почнемо з того, що ця проблема не торкнулася мобільних пристроїв. Вразливі були лише власники гаманців, які використовують персональні комп’ютери. Зрештою, потрібно було б використовувати опцію «Показати секретну фразу відновлення».

Халборн негайно зв’язався з чотирма компаніями, які, як з’ясувалося, наражалися на небезпеку через експлойт, і почалася таємна робота з усунення проблеми до того, як її виявлять чорні хакери.

Розробник Metamask Ден Фінлі опублікував повідомлення в блозі, в якому закликав користувачів оновити гаманець до останньої версії, щоб скористатися патчем, що усуває проблему. Фінлей також попросив їх звернути увагу на безпеку загалом, щоб пристрої завжди були зашифровані.

У повідомленні у блозі також було оголошено про виплату Халборну 50 тисяч доларів за виявлення вразливості у рамках програми винагороди за виявлення помилок Metamask, яка виплачує суми від 1 до 50 тисяч доларів залежно від серйозності.

Phantom також виступила із заявою з цього приводу, підтвердивши, що вразливість була виправлена ​​для її користувачів до квітня 2022 року. Компанія також запросила Уссаму Амрі – експерта, який стояв за відкриттям Халборна, – у команду кібербезпеки Phantom.

Підпишіться на Telegram-канал “Crypto Misto

Хочете отримувати свіжі новини по темі криптовалют в месенджер? Підписуйтеся на наш Telegram!

More Readings


No related posts found