AMAS:轉發提醒 MetaMask小狐貍錢包安全公告 如何應對拓展程序潛在的私鑰泄露_META

Halborn研究人員發現了一個問題：極少數情況下，可以在硬盤上找到未加密的用戶私匙，該問題已在10.11.3及更高版本的MetaMask瀏覽器擴展錢包中得到修復

背景

Halborn安全研究人員披露了一個實例，發現在某些條件下，可以從入侵的電腦硬盤中提取MetaMask等網頁錢包的助記詞。以下內容不會影響MetaMask 移動端錢包用戶，但會影響一小部分MetaMask瀏覽器擴展錢包用戶及其他瀏覽器/插件錢包用戶。這會使一些用戶面臨風險。了解該問題后，MetaMask已實施補救措施，目前對于使用10.11.3 及更高版本的MetaMask瀏覽器擴展錢包用戶，風險已經解除。但如果您滿足以下3個條件，仍可能面臨風險，請閱讀下文，采取后續步驟：

l 硬盤未加密

推特CEO轉發Project Mano關于推動埃塞俄比亞政府接受比特幣的推文:6月16日消息，推特首席執行官Jack Dorsey今日在推特轉發了游說團體Project Mano的推文并加上埃塞俄比亞國旗和比特幣標簽。據悉，該組織試圖推動埃塞俄比亞政府接受比特幣。Project Mano在該推文特中指出，在過去 6 個月左右的時間里該組織一直在努力推動埃塞俄比亞政府通過采用比特幣來“應對不斷加劇的不平等和全球通貨膨脹”。（Cointelegraph）[2021/6/16 23:42:11]

l 您將助記詞導入了某個不信任的人的設備的MetaMask插件程序中，或者個人電腦已被入侵

l 導入過程中，您曾打開“顯示助記詞”選項，在屏幕上查看助記詞。（如圖所示）

動態 | Libra聯合發起人轉發習近平促進區塊鏈言論文章，此前曾表示中國會在數字支付領域獲勝:Libra聯合發起人、Calibra首席執行官David Marcus在推特轉發了The Block發布的題為“中國國家主席習近平希望該國在區塊鏈領域占據領先地位”的文章。據此前報道， Marcus在接受采訪時曾表示：“如果華盛頓決定封鎖Libra，中國將會獲勝。在建立覆蓋全球的數字支付方面，北京處于領先地位。如果我們沒有一個好的答案，那么在未來五年，中國將基本上重新連接世界的很大一部分，而數字人民幣將在他們控制的區塊鏈上運行。”[2019/10/26]

影響

這會影響到：

l 我們測試過的所有桌面操作系統和瀏覽器。

l 我們使用了Google Chrome、Chromium和火狐瀏覽器在Windows、macOS和Linux上進行了測試。

動態 | V神轉發論文 論述“工作證明”替代方案“股權證明”:據bitcoinmagazine消息，V神重新轉發論文《什么是股權證明，為什么它很重要》。論文中V神論述了一種替代“工作證明”的“股權證明”PPCoin，它由Sunny King創建的。PPCoin的股權證明算法工作如下。在創建一個股權證明塊時，礦商需要構建一個“幣幣”交易，將自己擁有的錢以及預先設定的獎勵(比如利率，類似于比特幣的25比特幣塊獎勵)發送給自己。SHA256散列僅根據事務輸入、一些額外的固定數據和當前時間(以整數表示自1970年1月1日以來的秒數)計算。然后根據工作需求的證明來檢查這個散列，就像比特幣一樣，只不過難度與交易輸入的“硬幣年齡”成反比。硬幣時代定義為交易輸入的大小，以PPcoins為單位，乘以輸入存在的時間。由于散列僅基于時間和靜態數據，因此無法通過執行更多的工作來快速生成散列;每秒鐘，每個PPCoin事務輸出都有一定的機會生成一個與它的時間和包含PPCoin數量成比例的有效作品，就是這樣。從本質上說，每個PPCoin都可以充當“模擬采礦平臺”，有趣的是，它的采礦能力隨著時間線性增長，但每次找到一個有效的區塊，它的采礦能力就會重置為零。[2019/1/24]

l 所有瀏覽器版本上的所有MetaMask插件錢包（v10.11.3之前）。

動態 | 今日凌晨多家媒體轉發“Coinnest空投意外損失530萬美元” 其交易所實為CoinZest:今日凌晨，媒體CoinDesk發文稱“韓國交易所Coinnest因空投意外損失530萬美元”，多家媒體轉發了該消息。經查證發現，交易所主體實為“CoinZest”，同屬于韓國交易所。CoinZest官方也證實了該消息，并于21日發布了道歉公告。[2019/1/22]

l MetaMask 移動端錢包不受影響。

助記詞最終會被清除，但我們目前無法保證何時清除。

該漏洞最有可能影響到將助記詞導入MetaMask后不久，其設備就被入侵或被盜的用戶。

如果您滿足所有上述條件，那么能訪問您導入助記詞的電腦的人就有可能獲得您的助記詞，您最好將資金從相關帳戶中遷移出去，以確保安全。我們在此提供了一份遷移賬戶資金指南，使用任何第三方遷移工具都需要您自擔風險。

無論是可以直接使用還是通過惡意軟件控制您的設備的人都可以利用此漏洞。而如果設備已被惡意軟件入侵，您還可能面臨許多其他我們無法防御的攻擊（如鍵盤記錄器、直接訪問內存、控制程序等）。

如果認為自己面臨風險

如果有不信任的人可以使用您的電腦，我們建議您啟用全硬盤加密。而如果您的資金由硬件錢包管理，您將不受影響。

受影響的用戶應考慮將資金從使用相關助記詞生成的舊錢包賬戶轉移至由新助記詞生成的新賬戶。我們提供了一份指南來幫助有需要的用戶執行此操作，并給出了可簡化該流程的軟件選擇。

下文將提供更多詳情，以及關于如何最好地保障錢包安全的建議。稍后我們將披露有關該問題性質的更多細節，以幫助其他軟件開發人員避免這些問題。但目前，我們首先要-提醒用戶，以最大程度地降低盜竊風險。

我的安全性如何？

如上文所述，如果一臺電腦被入侵（能被他人使用或被惡意軟件入侵），您將無法保障其中運行的任何程序的安全。

流行的密碼管理器1Password團隊探討過這個問題。1Password首席安全架構師Jeffrey Goldberg解釋了解決該問題的難度：“這個問題廣為人知，并已被公開討論過多次，但任何看似合理的補救方案都可能會成事不足敗事有余。”

使用密碼管理器可能比不使用要安全，但也難以完全避免這一問題的影響。

結論

MetaMask最終發現，密碼加密功能的部分安全性受到了瀏覽器行為的破壞。由于瀏覽器本身認為物理訪問攻擊（他人訪問相關設備）超出了威脅模型范疇，而錢包是建立在瀏覽器之上的，因此要縮減這種攻擊面需要耗費大量人力，即便如此也難以完全消除風險。說到底，可能只有全硬盤加密才能為電腦提供強大的抵御物理訪問攻擊的安全性。

這是您本該預期的風險嗎？這取決于您是否認為可以在硬盤上恢復助記詞。如果您認為自己的電腦需要時刻保持安全，那么應該沒問題。但如果您認為MetaMask密碼能保證只要無法使用您電腦的人就無法提取您的帳戶，恐怕就說不準了。

從更高的層面上，我們應該普遍預期計算機、瀏覽器等都會多多少少存儲輸入的文本內容，不論是暫時的還是永久的。鑒于保護助記詞的重要性，我們需要對這個具體場景引起注意，以便讓用戶采取相應的行動。

幸運的是，密碼似乎仍然提供了一定程度的安全性。我們發現助記詞只有在非常特定的情況下才可能被提取出來。在Halborn等待披露的這段時間內，我們已經引入了新的保護措施，并計劃實施更多措施。MetaMask將繼續引入更多安全機制，以進一步降低風險。這意味著當您不使用錢包（或將電腦交給他人）時，給錢包上鎖仍是一個好習慣。

1. 為電腦啟用全硬盤加密。這是保障對您的電腦有物理訪問權限的人無法提取所有內容的唯一方法。我們也建議使用硬件錢包提供額外的安全保障。

2. 清除瀏覽器緩存（我們的研究表明這樣做能在某些情況下幫到某些用戶）

3. 請牢記，確保電腦安全是您的責任。如果電腦系統被入侵，任何錢包或軟件都無法保證安全。請花時間學習如何避免電腦被植入病。

MetaMask要感謝Halborn團隊負責任地披露這一漏洞，并感謝他們為保護加密空間付出的所有辛勤工作。為這一發現向Halborn授予了5萬美元獎金。

撰文：Dan Finlay，MetaMask

翻譯：王爾玉、PANews

Tags：AMASTAMMETMETAmetamask下載安卓metamask錢包最新版本下載DOGEMETA價格METAALLBI幣

狗狗幣價格