ION:慢霧：簡析 MetaMask 錢包 demonic 漏洞_MAS

使用過MetaMask版本低于10.11.3的用戶，如在導入助記詞時點擊了ShowSecretRecoveryPhrase，那么助記詞可能泄露了。2022年6月16日，MetaMask官方公布白帽子發現的一個被稱為demonicvulnerability的安全問題，漏洞影響的版本<10.11.3，由于MM的用戶體量較大，且基于MM進行開發的錢包也比較多，所以這個漏洞的影響面挺大的，因此MM也慷慨支付了白帽子5萬刀的賞金。當團隊向我同步了這個漏洞后，我開始著手對這個漏洞進行分析和復現。

漏洞分析

CertiK：一個在釣魚活動中被發現的錢包有了約近兩萬美元的資金流動:金色財經消息，據CertiK監測，一個在釣魚活動中被發現的錢包有了約近兩萬美元的資金流動。 相關錢包從EOA 0x8e5f9F存入了10.1 ETH（約2萬美元）。[2023/5/31 11:49:42]

白帽子將這個漏洞命名為demonicvulnerability，具體的漏洞描述比較復雜，為了讓大家更好的理解這個問題，我盡可能用簡單的表述來說明這個問題。在使用MM瀏覽器擴展錢包導入助記詞時，如果點擊"ShowSecretRecoveryPhrase"按鈕，瀏覽器會將輸入的完整助記詞明文緩存在本地磁盤，這是利用了瀏覽器本身的機制，即瀏覽器會將Tabs的頁面中的Text文本從內存保存到本地，以便在使用瀏覽器的時候可以及時保存頁面的狀態，用于下次打開頁面的時候恢復到之前的頁面狀態。

韓國法官將涉嫌挪用公款等的Coinone前董事全某的首次開庭日期定在5月4日:4月24日消息，韓國首爾南區法院第7刑事庭的法官金正基將被指控挪用公款和其他罪名的Coinone前董事全某的首次開庭日期定在5月4日，涉嫌向全某提供金錢以換取上市請求的上幣經紀人高某也將在同一天受審。全某在2020年起擔任加密貨幣交易所Coinone的上市主管期間，涉嫌因要求上市加密貨幣而從包括高某在內的兩名經紀人處收取20億韓元的上市費用。他還涉嫌在明知某些幣種具有市場操縱（商業干擾）目的的情況下將其上市。高某面臨挪用公款的指控，他參與了超過29種加密貨幣的上市工作。（News1）

此前報道，4月8日，據韓國媒體MoneyToday報道，韓國首爾南地檢察廳第一金融調查部以涉嫌貪污罪起訴加密交易所前Coinone高管全某，10日上午將對嫌疑人進行拘捕前訊問。

Foresight News 此前報道，4 月 8 日，據韓國媒體 Money Today 報道，韓國首爾南地檢察廳第一金融調查部以涉嫌貪污罪起訴加密交易所前 Coinone 高管全某，10 日上午將對嫌疑人進行拘捕前訊問。[2023/4/24 14:22:47]

基于對這個漏洞的理解，我開始進行漏洞復現，由于MM僅對這個漏洞進行簡要的描述并不公開漏洞細節，所以在復現的時候遇到了如下的問題：

紅十字國際委員會與Partisia合作測試基于區塊鏈的代幣化援助:12月3日消息，紅十字國際委員會(ICRC)正在通過與L1區塊鏈Partisia合作開發一種替代現金和代金券援助的加密貨幣。如果成功，它可能會導致紅十字國際委員會通過“穩定的實用代幣”提供援助，其價值將以類似于穩定幣的方式與資產價格掛鉤。目前，這是通過紙質代金券或現金分發的，新的解決方案將幫助向沖突地區的人們分發代幣化援助。(The Block)[2022/12/3 21:18:56]

緩存被記錄到磁盤中的文件路徑未知

緩存何時被記錄到磁盤未知

美股三大指數集體收漲，標普500指數漲1.16%:金色財經報道，美股三大指數集體收漲，標普500指數漲1.16%，道指漲1.13%，納指漲0.9%。[2022/10/19 17:31:33]

為了解決問題1，我開始對瀏覽器的緩存目錄結構進行分析和測試，發現在使用瀏覽器(chrome)的時候相關的Tabs緩存是記錄到了如下的目錄：

Tabs緩存路徑：

/Users/$(whoami)/Library/ApplicationSupport/Google/Chrome/Default/Sessions/

然后繼續解決問題2：Sessions目錄會記錄Tabs的緩存，為了找出緩存被記錄的時間節點，我對導入助記詞的整個流程進行了分解，然后在每一步操作之后去觀察Sessions的數據變化。發現在如下這個頁面輸入助記詞數據后，需要等待10-20s，然后關閉瀏覽器，明文的助記詞信息就會被記錄到Sessions緩存數據中。

分析結論

用戶正常在使用MM的時候是將助記詞相關的數據放入內存中進行存儲，一般認為是相對較為安全的，但是由于demonicvulnerability這個漏洞導致助記詞會被緩存到本地磁盤，因此就會有如下的新的利用場景：

明文的助記詞數據緩存在本地磁盤，可以被其他應用讀取，在PC電腦中很難保證其他應用程序不去讀取Sessions緩存文件。

明文的助記詞數據緩存在本地磁盤，如果磁盤未被加密，可以通過物理接觸恢復助記詞。比如在類似維修電腦等場景下，當他人對電腦進行物理接觸時可以從硬盤中讀取助記詞數據。

作為普通用戶，如果你使用過MetaMaskVersion<10.11.3，且在導入助記詞的時候點擊了ShowSecretRecoveryPhrase，那么你的助記詞有可能泄露了，可以參考MetaMask的文章對磁盤進行加密并更換錢包遷移數字資產。

作為擴展錢包項目方，如果采用了在Tabs頁面中以Text的方式輸入助記詞導入錢包，均受到demonicvulnerability漏洞的影響，可以參考MetaMaskVersion>=10.11.3的實現，為每個助記詞定義單獨的輸入框，并且輸入框的類型為Password。

原文標題：《MetaMask瀏覽器擴展錢包demonic漏洞分析》

撰文：Thinking@慢霧安全團隊

來源：ForesightNews

來源：金色財經

Tags：IONMONONEMASDIONEThe MonopolistMoney Versummetamask怎么提現

火必APP