MetaMask, Phantom, Brave risolvono una vulnerabilità critica

Metamask
Fonte: AdobeStock / paul

 

Un certo numero di importanti wallet di estensione del browser, tra cui il wallet di Ethereum (ETH) MetaMask, Phantom di Solana (SOL), Brave e l'estensione del wallet cross-chain XDefi, hanno corretto una "vulnerabilità critica", che avrebbe potuto rilevare credenziali di accesso sensibili se fossero state soddisfatte determinate condizioni.

La vulnerabilità non è stata sfruttata da hacker

I fornitori di wallet affermano che la vulnerabilità non è stata sfruttata da hacker, il che significa che i fondi degli utenti non sono stati rubati utilizzando questo vettore di attacco.

In un post sul blog, MetaMask ha spiegato in dettaglio che il problema non ha avuto alcun impatto sugli utenti di MetaMask Mobile e ha interessato solo "un piccolo segmento di utenti di MetaMask Extension e utenti di altri browser/wallet di estensioni".

MetaMask ha implementato aggiornamenti per risolvere il problema

Il popolare wallet di Ethereum ha affermato di aver implementato aggiornamenti per risolvere il problema, sostenendo che non influisce sugli utenti delle versioni di MetaMask Extension 10.11.3 e successive. MetaMask ha aggiunto che gli utenti devono preoccuparsi solo se sono soddisfatte tutte le seguenti condizioni:

  • il loro disco rigido non era crittografato;
  • hanno importato la loro frase di recupero segreta in un'estensione MetaMask su un dispositivo che è in possesso di qualcuno di cui non si fidano o il loro computer è compromesso;
  • hanno utilizzato la casella di controllo "Mostra frase di ripristino segreta" per visualizzare la loro frase di ripristino segreta sullo schermo durante il processo di importazione.

MetaMask ha affermato: "Se il tuo computer non è fisicamente protetto da persone di cui non ti fidi, ti consigliamo di abilitare la crittografia completa del disco sul tuo sistema". "Inoltre, non sei interessato da questo se i tuoi fondi sono gestiti da un wallet hardware."

Anche Phantom di Solana, un wallet self-custodial per la finanza decentralizzata (DeFi), ha confermato di essere stato interessato dal problema, affermando di essere stato informato per la prima volta della vulnerabilità nel settembre 2021.

Phantom ha affermato: "Dopo alcune indagini e un audit ufficiale, le correzioni sono iniziate a essere implementate nel gennaio 2022 e ad aprile gli utenti di Phantom sono stati protetti da questa vulnerabilità critica", aggiungendo che la prossima settimana rilasceranno "una patch ancora più completa".

La vulnerabilità è stata scoperta e segnalata a tutti i browser di wallet interessati dalla società di sicurezza blockchain Halborn. La società ha affermato in un thread su Twitter: "Abbiamo rivelato una vulnerabilità critica che interessa MetaMask, Phantom, Brave e XDefi e altri wallet basati su browser".

Halborn ha affermato di aver scoperto la vulnerabilità "Demonic" nel maggio 2021 e di aver fornito assistenza a tutti i browser interessati con l'aiuto di MetaMask.

Inoltre Halborn ha affermato che la società blockchain ha anche ricevuto una ricompensa di 50.000 USD da MetaMask per la scoperta, che "è stato il più grande pagamento relativo alla sicurezza che MetaMask avesse mai realizzato in quel momento".

L'incidente è un altro promemoria del fatto che gli hot wallet connessi a Internet sono soggetti a vulnerabilità di sicurezza. Gli utenti possono prendere in considerazione i wallet hardware per una maggiore sicurezza.

____

Seguici sui nostri canali social: 

Telegram: https://t.me/ItaliaCryptonews

Twitter: https://twitter.com/cryptonews_IT
 _______

Clicca sui nostri link di affiliazione:

- Per acquistare le tue criptovalute su PrimeXBT, la piattaforma di trading di nuova generazione

- Per proteggere le tue criptovalute su portafogli come Ledger e Trezor

- Per effettuare transazioni in modo anonimo con NordVPN

___

Per saperne di più: 
- MetaMask Aims to Help Crypto Scam & Phishing Victims Take Legal Action Against Fraudsters
- MetaMask avvisa degli attacchi di phishing via iCloud
- Il browser Brave mira a "tagliare fuori" Google con De-AMP
- As Opera Challenges Brave Browser with Push Further into Crypto, How Do They Compare?

- Trezor oggetto di attacchi di phishing: come proteggersi
- Sicurezza delle criptovalute: previsioni 2022