Հունիսի 15-ին կրիպտո դրամապանակներ տրամադրող մի քանի ընկերություններ, ինչպես նաև կիբերսեկ ֆիրման, որը պատասխանատու է շահագործումների որոնման համար, հայտարարեցին անվտանգության խնդրի առկայության և հետագա շտկման մասին, որը ազդում է բրաուզերի ընդլայնման վրա հիմնված դրամապանակների վրա:
Խոցելիությունը, որը ստացել է «Demonic» ծածկագիրը, հայտնաբերել են Halborn-ի անվտանգության հետազոտողները, ովքեր անցյալ տարի դիմել են տուժած ընկերություններին: Նրանք այժմ հրապարակել են իրենց բացահայտումները՝ թույլ տալով ազդակիր կողմերին նախապես շտկել խնդիրը՝ վերջնական օգտագործողներին հասցված վնասը սահմանափակելու նպատակով:
Metamask, xDEFI, Brave և Phantom Affected
Դիվային շահագործումը, որը պաշտոնապես անվանվել է CVE-2022-32969, ի սկզբանե եղել է հայտնաբերել Halborn-ի կողմից դեռևս 2021 թվականի մայիսին։ Այն ազդել է դրամապանակների վրա՝ օգտագործելով BIP39 մնեմոնիկները՝ թույլ տալով, որ վերականգնման արտահայտությունները հեռակա կարգով գաղտնալսվեն վատ դերակատարների կողմից կամ օգտագործելով վտանգված սարքեր՝ ի վերջո հանգեցնելով դրամապանակի թշնամական գրավմանը։
Այնուամենայնիվ, շահագործման համար անհրաժեշտ էր իրադարձությունների շատ կոնկրետ հաջորդականություն:
Սկսելու համար, այս խնդիրը չի ազդել շարժական սարքերի վրա: Միայն չգաղտնագրված աշխատասեղանի սարքեր օգտագործող դրամապանակների սեփականատերերը խոցելի էին, և նրանք ստիպված կլինեին ներմուծել գաղտնի վերականգնման արտահայտությունը վտանգված սարքից: Վերջապես, «Ցույց տալ գաղտնի վերականգնման արտահայտությունը» տարբերակը պետք է օգտագործվեր:
⚠Halborn-ը ստանում է անվտանգության հիմնական պարգևներ @MetaMask Կրիտիկական բացահայտման համար⚠
Մենք բացահայտեցինք մի կրիտիկական խոցելիություն, որը ազդում է @MetaMask, @Brave, @ Phantom, @xdefi_walletև այլ բրաուզերի վրա հիմնված կրիպտո դրամապանակներ – Կարճ ? խոցելիության մասին և ինչպե՞ս պաշտպանվել: ինքներդ:— Հալբորն (@HalbornSecurity) Հունիսի 15, 2022
Հալբորնը անհապաղ հասել են չորս ընկերություններին, որոնք վտանգված էին շահագործման արդյունքում, և աշխատանքը սկսվեց գաղտնի կերպով լուծել խնդիրը, նախքան այն կբացահայտվեր սև գլխարկների հաքերները:
«Խոցելիության ծանրության և ազդեցության ենթարկված օգտատերերի քանակի պատճառով տեխնիկական մանրամասները գաղտնի են պահվել, մինչև որ հնարավոր լինի բարեխղճորեն ջանքեր գործադրել՝ կապվել ազդակիր դրամապանակների մատակարարների հետ:
Այժմ, երբ դրամապանակների մատակարարները հնարավորություն են ունեցել շտկել խնդիրը և տեղափոխել իրենց օգտատերերին՝ վերականգնելու արտահայտությունները ապահովելու համար, Halborn-ը խորը մանրամասներ է տրամադրում խոցելիության մասին տեղեկացվածությունը բարձրացնելու և ապագայում նմանատիպ դեպքերը կանխելու համար»:
Խնդիրը լուծվեց, զգոնները պարգևատրվեցին
Metamask մշակող Դեն Ֆինլեյ լույս բլոգային գրառում, որը կոչ է անում օգտատերերին թարմացնել դրամապանակի վերջին տարբերակը, որպեսզի օգտվեն կարկատումից, որը վերացնում է խնդիրը: Ֆինլեյը նաև խնդրեց նրանց ուշադրություն դարձնել ընդհանուր առմամբ անվտանգությանը, սարքերը միշտ գաղտնագրված պահելով:
Բլոգի գրառումը նաև հայտարարեց Հալբորնին 50 հազար դոլար վճարելու մասին խոցելիության հայտնաբերման համար՝ որպես Metamask-ի bug bounty ծրագրի մի մաս, որը վճարում է 1 հազարից մինչև 50 հազար դոլար՝ կախված ծանրությունից:
Այս առնչությամբ հայտարարություն է տարածել նաև Phantom-ը. հաստատելով Խոցելիությունը կարկատվեց իր օգտատերերի համար մինչև 2022 թվականի ապրիլը: Ընկերությունը նաև ողջունեց Ուսամա Ամրիին՝ Հալբորնի հայտնագործության հետևում կանգնած փորձագետին, Phantom-ի կիբերսեկցիոն թիմում:
1/ 2022 թվականի ապրիլի դրությամբ Phantom-ի օգտատերերը պաշտպանված են կրիպտո բրաուզերի ընդլայնումների «Դիվային» կրիտիկական խոցելիությունից:
Հաջորդ շաբաթ կթողարկվի ևս մեկ սպառիչ կարկատել, որը մենք հավատում ենք, որ կստեղծվի @ Phantom ամենաանվտանգը «Demonic»-ից արդյունաբերության մեջ: https://t.co/bKE1olpzng
- Phantom (@phantom) Հունիսի 15, 2022
Ներգրավված բոլոր կողմերը կոչ են արել շահագրգիռ օգտատերերին համոզվել, որ նրանք թարմացրել են դրամապանակի վերջին տարբերակը և դիմել համապատասխան անվտանգության թիմերին ցանկացած լրացուցիչ խնդրի համար:
Binance անվճար $100 (բացառիկ). Օգտագործեք այս հղումը գրանցվել և ստանալ $100 անվճար և 10% զեղչ վճարներ Binance Futures-ի առաջին ամսվա համար (Պայմաններ).
PrimeXBT Հատուկ առաջարկ: Օգտագործեք այս հղումը գրանցվելու համար և մուտքագրեք POTATO50 կոդը՝ ձեր ավանդների վրա մինչև $7,000 ստանալու համար:
Աղբյուր՝ https://cryptopotato.com/demonic-vulnerability-affecting-crypto-wallets-patched-by-metamask-brave-phantom/