Halborn研究人員發現了一個問題:極少數情況下,可以在硬盤上找到未加密的用戶私匙,該問題已在10.11.3及更高版本的MetaMask瀏覽器擴展錢包中得到修復
背景
Halborn安全研究人員披露了一個實例,發現在某些條件下,可以從入侵的電腦硬盤中提取MetaMask等網頁錢包的助記詞。以下內容不會影響MetaMask移動端錢包用戶,但會影響一小部分MetaMask瀏覽器擴展錢包用戶及其他瀏覽器/插件錢包用戶。這會使一些用戶面臨風險。了解該問題后,MetaMask已實施補救措施,目前對于使用10.11.3及更高版本的MetaMask瀏覽器擴展錢包用戶,風險已經解除。但如果您滿足以下3個條件,仍可能面臨風險,請閱讀下文,采取后續步驟:
l硬盤未加密
.bit為錢包及交易平臺提供增強轉帳安全性的解決方案:4月13日消息,.bit 于 Hong Kong Web3 Festival 發布 .bit Alias 的地址反向解析特性及應用方式,探討錢包及交易平臺可以如何使用該特性替用戶解決轉帳的潛在安全風險問題。
使用該解決方案,用戶可以通過為地址設置.bit Alias 在轉帳時觸發雙重驗證以避免黑客攻擊 API、內部操縱、程序錯誤、數據過時、DID 過期,以及關聯到錯誤的接收地址等風險。[2023/4/13 14:01:52]
l您將助記詞導入了某個不信任的人的設備的MetaMask插件程序中,或者個人電腦已被入侵
l導入過程中,您曾打開“顯示助記詞”選項,在屏幕上查看助記詞。
Trystack.io宣布完成270萬美元融資,Madrona等參投:9月9日消息,面向Z世代年輕用戶的加密應用 Trystack.io 宣布完成270萬美元新一輪融資,Madrona、The Venture Collective、Santa Clara Ventures 以及金融領域里的幾位天使人和高管參投。Trystack.io 與 Coinbase 和 Robinhood 等應用程序的不同之處在于,其應用允許年輕用戶訪問 UTMA(統一移交未成年人法),并且為提供合法加密訪問權限,未來達到法定年齡后,資產將直接轉移到這些青少年用戶的名下。
據悉,該平臺將首先提供七種加密貨幣,分別是BTC、ETH、ADA、SOL、USDC、LTC和MATIC,目前已發布適用于iOS和Android的移動端版本。(Crypto reporter)[2022/9/9 13:18:48]
影響
Andreessen Horowitz發布“Can’t Be Evil”NFT許可證避免法律\"模糊\":金色財經報道,風險投資公司Andreessen Horowitz發布了一系列“Can’t Be Evil”的許可證,供NFT項目使用。這些免費許可證是在Punk6529和其他公司的幫助下創建的,讓項目決定NFT持有人如何利用和商業化知識產權。許可證為NFT項目提供了一系列不同的方法,從有限的個人使用條款到允許任何人出于任何目的使用藝術品的更廣泛的許可證,即使他們不擁有NFT。
這些許可證已經針對分散的Web3項目進行了調整,以消除歧義,盡量減少知識產權授予方面的混亂,并可能避免未來的法律麻煩。(decrypt)[2022/9/1 13:01:43]
這會影響到:
灰度比特幣信托負溢價率達31.98%:金色財經消息,根據Tokenview鏈上數據顯示,當前灰度總持倉量達199.73 億美元,主流幣種信托溢價率如下:
BTC,-31.98%;
ETH,-25.64%;
ETC,-61.33%;
LTC, -43.59%;
BCH,-16.07%。[2022/7/28 2:42:49]
l我們測試過的所有桌面操作系統和瀏覽器。
l我們使用了GoogleChrome、Chromium和火狐瀏覽器在Windows、macOS和Linux上進行了測試。
l所有瀏覽器版本上的所有MetaMask插件錢包。
lMetaMask移動端錢包不受影響。
助記詞最終會被清除,但我們目前無法保證何時清除。
該漏洞最有可能影響到將助記詞導入MetaMask后不久,其設備就被入侵或被盜的用戶。
如果您滿足所有上述條件,那么能訪問您導入助記詞的電腦的人就有可能獲得您的助記詞,您最好將資金從相關帳戶中遷移出去,以確保安全。我們在此提供了一份遷移賬戶資金指南,使用任何第三方遷移工具都需要您自擔風險。
無論是可以直接使用還是通過惡意軟件控制您的設備的人都可以利用此漏洞。而如果設備已被惡意軟件入侵,您還可能面臨許多其他我們無法防御的攻擊。
如果認為自己面臨風險
如果有不信任的人可以使用您的電腦,我們建議您啟用全硬盤加密。而如果您的資金由硬件錢包管理,您將不受影響。
受影響的用戶應考慮將資金從使用相關助記詞生成的舊錢包賬戶轉移至由新助記詞生成的新賬戶。我們提供了一份指南來幫助有需要的用戶執行此操作,并給出了可簡化該流程的軟件選擇。
下文將提供更多詳情,以及關于如何最好地保障錢包安全的建議。稍后我們將披露有關該問題性質的更多細節,以幫助其他軟件開發人員避免這些問題。但目前,我們首先要-提醒用戶,以最大程度地降低盜竊風險。
我的安全性如何?
如上文所述,如果一臺電腦被入侵,您將無法保障其中運行的任何程序的安全。
流行的密碼管理器1Password團隊探討過這個問題。1Password首席安全架構師JeffreyGoldberg解釋了解決該問題的難度:“這個問題廣為人知,并已被公開討論過多次,但任何看似合理的補救方案都可能會成事不足敗事有余。”
使用密碼管理器可能比不使用要安全,但也難以完全避免這一問題的影響。
結論
MetaMask最終發現,密碼加密功能的部分安全性受到了瀏覽器行為的破壞。由于瀏覽器本身認為物理訪問攻擊超出了威脅模型范疇,而錢包是建立在瀏覽器之上的,因此要縮減這種攻擊面需要耗費大量人力,即便如此也難以完全消除風險。說到底,可能只有全硬盤加密才能為電腦提供強大的抵御物理訪問攻擊的安全性。
這是您本該預期的風險嗎?這取決于您是否認為可以在硬盤上恢復助記詞。如果您認為自己的電腦需要時刻保持安全,那么應該沒問題。但如果您認為MetaMask密碼能保證只要無法使用您電腦的人就無法提取您的帳戶,恐怕就說不準了。
從更高的層面上,我們應該普遍預期計算機、瀏覽器等都會多多少少存儲輸入的文本內容,不論是暫時的還是永久的。鑒于保護助記詞的重要性,我們需要對這個具體場景引起注意,以便讓用戶采取相應的行動。
幸運的是,密碼似乎仍然提供了一定程度的安全性。我們發現助記詞只有在非常特定的情況下才可能被提取出來。在Halborn等待披露的這段時間內,我們已經引入了新的保護措施,并計劃實施更多措施。MetaMask將繼續引入更多安全機制,以進一步降低風險。這意味著當您不使用錢包時,給錢包上鎖仍是一個好習慣。
重點提示:
1.為電腦啟用全硬盤加密。這是保障對您的電腦有物理訪問權限的人無法提取所有內容的唯一方法。我們也建議使用硬件錢包提供額外的安全保障。
2.清除瀏覽器緩存
3.請牢記,確保電腦安全是您的責任。如果電腦系統被入侵,任何錢包或軟件都無法保證安全。請花時間學習如何避免電腦被植入病。
MetaMask要感謝Halborn團隊負責任地披露這一漏洞,并感謝他們為保護加密空間付出的所有辛勤工作。為這一發現向Halborn授予了5萬美元獎金。
撰文:DanFinlay,MetaMask
翻譯:王爾玉、PANews
來源:金色財經
Tags:MASMASKASKETAmask幣可長期持有嗎metamask小狐貍錢包安全嗎metamask官網下載metamask小狐貍
根據?TrailofBits?的說法,分布式賬本技術?(DLT)?和包括比特幣和以太坊在內的區塊鏈可能比最初想象的更容易受到中心化風險的影響.
1900/1/1 0:00:00中國移動2022科技周暨移動信息產業鏈創新大會 區塊鏈分論壇成功舉辦 投稿單位:中國移動信息技術中心6月21日,中國移動2022科技周暨移動信息產業鏈創新大會區塊鏈分論壇通過線上形式成功舉行.
1900/1/1 0:00:00無聊猿是Web30時代的當紅IP,由YugaLabs創造,目前已成為全球最昂貴和最具影響力的NFT頭像系列項目.
1900/1/1 0:00:00區塊鏈系統有六個層次,數據層、網絡層、共識層、激勵層、合約層和應用層,在結構上都密不可分,共同實現了區塊鏈的功能。?數據層和網絡層是區塊鏈的基本架構,也是整個區塊鏈系統的最底層.
1900/1/1 0:00:00區塊鏈數據分析服務商Glassnode的數據顯示,在上周短短的三天內,比特幣投資者出現了有史以來最大的實際損失——拋售BTC導致投資者損失了73億美元.
1900/1/1 0:00:00BTC最近兩個周末都在搞事,打破了周末相對平靜的走勢,周六先是暴跌最低至17622,隨后開啟反彈。我在社群里跌破19000的時候就明確提示要分批抄底現貨,別人恐懼我貪婪!周日18000附近加倉.
1900/1/1 0:00:00