Kerentanan 'Demonic' yang Mempengaruhi Dompet Crypto Ditambal oleh Metamask, Brave, Phantom

Pada 15 Jun, beberapa syarikat yang menyediakan dompet kripto – serta firma cybersec yang bertanggungjawab mencari eksploitasi – mengumumkan kewujudan dan tampalan berikutnya bagi isu keselamatan yang menjejaskan dompet berasaskan sambungan penyemak imbas.

Kerentanan itu, dengan nama kod "Demonic," ditemui oleh penyelidik keselamatan di Halborn, yang mendekati syarikat yang terjejas tahun lepas. Mereka kini telah mendedahkan penemuan mereka kepada umum, setelah membenarkan pihak yang terjejas menyelesaikan isu itu terlebih dahulu dalam usaha untuk mengehadkan kerosakan kepada pengguna akhir.

Metamask, xDEFI, Brave dan Phantom Affected

Eksploitasi Iblis - secara rasmi dinamakan CVE-2022-32969 - pada asalnya ditemui oleh Halborn kembali pada Mei 2021. Ia menjejaskan dompet menggunakan mnemonik BIP39, membenarkan frasa pemulihan dipintas oleh pelakon jahat dari jauh atau menggunakan peranti yang terjejas, akhirnya membawa kepada pengambilalihan dompet secara bermusuhan.
Walau bagaimanapun, eksploitasi memerlukan urutan peristiwa yang sangat spesifik untuk berlaku.

Untuk bermula, isu ini tidak menjejaskan peranti mudah alih. Hanya pemilik dompet yang menggunakan peranti desktop yang tidak disulitkan terdedah - dan mereka perlu mengimport frasa pemulihan rahsia daripada peranti yang terjejas. Akhir sekali, pilihan "Tunjukkan Frasa Pemulihan Rahsia" terpaksa digunakan.

⚠Halborn Menerima Bounty Keselamatan Utama daripada @MetaMask untuk Penemuan Kritikal⚠
Kami mendedahkan kelemahan kritikal yang menjejaskan @MetaMask, @Berani, @Pantang, @xdefi_wallet, dan dompet kripto berasaskan pelayar lain – A short ? mengenai kelemahan dan bagaimana untuk melindungi ? diri anda:

- Halborn (@HalbornSecurity) Jun 15, 2022

Halborn segera menghulurkan tangan kepada empat syarikat yang didapati terancam oleh eksploitasi itu, dan kerja-kerja bermula secara rahsia untuk membetulkan isu itu sebelum ia dapat ditemui oleh penggodam topi hitam.

“Disebabkan keterukan kerentanan dan bilangan pengguna yang terjejas, butiran teknikal dirahsiakan sehingga usaha murni dapat dibuat untuk menghubungi penyedia dompet yang terjejas.

Memandangkan penyedia dompet telah berpeluang untuk menyelesaikan isu tersebut dan memindahkan pengguna mereka untuk mendapatkan frasa pemulihan, Halborn menyediakan butiran yang mendalam untuk meningkatkan kesedaran tentang kelemahan dan membantu mencegah yang serupa pada masa hadapan.”

Isu Selesai, Vigilante Diberi Ganjaran

Metamask dev Dan Finlay diterbitkan catatan blog menggesa pengguna untuk mengemas kini kepada versi terkini dompet untuk mendapat manfaat daripada tampung, yang membatalkan isu tersebut. Finlay juga meminta mereka untuk memberi perhatian kepada keselamatan secara umum, memastikan peranti disulitkan pada setiap masa.

Catatan blog itu juga mengumumkan pembayaran $50k kepada Halborn untuk penemuan kelemahan sebagai sebahagian daripada program hadiah pepijat Metamask, yang membayar jumlah antara $1k dan $50k, bergantung pada keterukan.

Phantom turut mengeluarkan kenyataan mengenai perkara itu, mengesahkan kerentanan telah ditambal untuk penggunanya menjelang April 2022. Syarikat itu juga mengalu-alukan Oussama Amri – pakar di sebalik penemuan Halborn – kepada pasukan cybersec Phantom.

1/ Mulai April 2022, pengguna Phantom dilindungi daripada kerentanan kritikal “Demonic” dalam sambungan pelayar kripto.

Satu lagi patch menyeluruh akan dilancarkan minggu depan yang kami percaya akan dibuat @Pantang yang paling selamat daripada "Demonic" dalam industri. https://t.co/bKE1olpzng

- Hantu (@phantom) Jun 15, 2022

Semua pihak yang terlibat menggesa pengguna yang prihatin memastikan mereka telah menaik taraf kepada versi terkini dompet dan menghubungi pasukan keselamatan masing-masing untuk sebarang isu tambahan.