«Դիվային» խոցելիությունը, որն ազդում է կրիպտո դրամապանակների վրա, որոնք կարկատել են Metamask, Brave, Phantom-ը

Հունիսի 15-ին կրիպտո դրամապանակներ տրամադրող մի քանի ընկերություններ, ինչպես նաև կիբերսեկ ֆիրման, որը պատասխանատու է շահագործումների որոնման համար, հայտարարեցին անվտանգության խնդրի առկայության և հետագա շտկման մասին, որը ազդում է բրաուզերի ընդլայնման վրա հիմնված դրամապանակների վրա:

Խոցելիությունը, որը ստացել է «Demonic» ծածկագիրը, հայտնաբերել են Halborn-ի անվտանգության հետազոտողները, ովքեր անցյալ տարի դիմել են տուժած ընկերություններին: Նրանք այժմ հրապարակել են իրենց բացահայտումները՝ թույլ տալով ազդակիր կողմերին նախապես շտկել խնդիրը՝ վերջնական օգտագործողներին հասցված վնասը սահմանափակելու նպատակով:

Metamask, xDEFI, Brave և Phantom Affected

Դիվային շահագործումը, որը պաշտոնապես անվանվել է CVE-2022-32969, ի սկզբանե եղել է հայտնաբերել Halborn-ի կողմից դեռևս 2021 թվականի մայիսին։ Այն ազդել է դրամապանակների վրա՝ օգտագործելով BIP39 մնեմոնիկները՝ թույլ տալով, որ վերականգնման արտահայտությունները հեռակա կարգով գաղտնալսվեն վատ դերակատարների կողմից կամ օգտագործելով վտանգված սարքեր՝ ի վերջո հանգեցնելով դրամապանակի թշնամական գրավմանը։
Այնուամենայնիվ, շահագործման համար անհրաժեշտ էր իրադարձությունների շատ կոնկրետ հաջորդականություն:

Սկսելու համար, այս խնդիրը չի ազդել շարժական սարքերի վրա: Միայն չգաղտնագրված աշխատասեղանի սարքեր օգտագործող դրամապանակների սեփականատերերը խոցելի էին, և նրանք ստիպված կլինեին ներմուծել գաղտնի վերականգնման արտահայտությունը վտանգված սարքից: Վերջապես, «Ցույց տալ գաղտնի վերականգնման արտահայտությունը» տարբերակը պետք է օգտագործվեր:

⚠Halborn-ը ստանում է անվտանգության հիմնական պարգևներ @MetaMask Կրիտիկական բացահայտման համար⚠
Մենք բացահայտեցինք մի կրիտիկական խոցելիություն, որը ազդում է @MetaMask, @Brave, @ Phantom, @xdefi_walletև այլ բրաուզերի վրա հիմնված կրիպտո դրամապանակներ – Կարճ ? խոցելիության մասին և ինչպե՞ս պաշտպանվել: ինքներդ:

— Հալբորն (@HalbornSecurity) Հունիսի 15, 2022

Հալբորնը անհապաղ հասել են չորս ընկերություններին, որոնք վտանգված էին շահագործման արդյունքում, և աշխատանքը սկսվեց գաղտնի կերպով լուծել խնդիրը, նախքան այն կբացահայտվեր սև գլխարկների հաքերները:

«Խոցելիության ծանրության և ազդեցության ենթարկված օգտատերերի քանակի պատճառով տեխնիկական մանրամասները գաղտնի են պահվել, մինչև որ հնարավոր լինի բարեխղճորեն ջանքեր գործադրել՝ կապվել ազդակիր դրամապանակների մատակարարների հետ:

Այժմ, երբ դրամապանակների մատակարարները հնարավորություն են ունեցել շտկել խնդիրը և տեղափոխել իրենց օգտատերերին՝ վերականգնելու արտահայտությունները ապահովելու համար, Halborn-ը խորը մանրամասներ է տրամադրում խոցելիության մասին տեղեկացվածությունը բարձրացնելու և ապագայում նմանատիպ դեպքերը կանխելու համար»:

Խնդիրը լուծվեց, զգոնները պարգևատրվեցին

Metamask մշակող Դեն Ֆինլեյ լույս բլոգային գրառում, որը կոչ է անում օգտատերերին թարմացնել դրամապանակի վերջին տարբերակը, որպեսզի օգտվեն կարկատումից, որը վերացնում է խնդիրը: Ֆինլեյը նաև խնդրեց նրանց ուշադրություն դարձնել ընդհանուր առմամբ անվտանգությանը, սարքերը միշտ գաղտնագրված պահելով:

Բլոգի գրառումը նաև հայտարարեց Հալբորնին 50 հազար դոլար վճարելու մասին խոցելիության հայտնաբերման համար՝ որպես Metamask-ի bug bounty ծրագրի մի մաս, որը վճարում է 1 հազարից մինչև 50 հազար դոլար՝ կախված ծանրությունից:

Այս առնչությամբ հայտարարություն է տարածել նաև Phantom-ը. հաստատելով Խոցելիությունը կարկատվեց իր օգտատերերի համար մինչև 2022 թվականի ապրիլը: Ընկերությունը նաև ողջունեց Ուսամա Ամրիին՝ Հալբորնի հայտնագործության հետևում կանգնած փորձագետին, Phantom-ի կիբերսեկցիոն թիմում:

1/ 2022 թվականի ապրիլի դրությամբ Phantom-ի օգտատերերը պաշտպանված են կրիպտո բրաուզերի ընդլայնումների «Դիվային» կրիտիկական խոցելիությունից:

Հաջորդ շաբաթ կթողարկվի ևս մեկ սպառիչ կարկատել, որը մենք հավատում ենք, որ կստեղծվի @ Phantom ամենաանվտանգը «Demonic»-ից արդյունաբերության մեջ: https://t.co/bKE1olpzng

- Phantom (@phantom) Հունիսի 15, 2022

Ներգրավված բոլոր կողմերը կոչ են արել շահագրգիռ օգտատերերին համոզվել, որ նրանք թարմացրել են դրամապանակի վերջին տարբերակը և դիմել համապատասխան անվտանգության թիմերին ցանկացած լրացուցիչ խնդրի համար: