MetaMask, Phantom ve Diğer Tarayıcı Cüzdanlarındaki Güvenlik Açığı Kapatıldı

En büyük kripto cüzdan sağlayıcılarından ikisi olan MetaMask ve Phantom, Çarşamba günkü blog yayınlarında; kısa süre önce, güvenliği ihlal edilmiş cihazlara sahip kullanıcıların oturum açmayı sağlayan hassas kimlik bilgilerini ifşa edebilecek bir güvenlik açığını kapattıklarını açıkladı.

Güvenlik açığının, dar bir saldırı vektörü olmasına ve bilgisayar korsanları tarafından kullanıldığına dair bir kanıt olmamasına rağmen, daha kullanışlı olsa da internete bağlı sıcak cüzdanların riskini hatırlattı.  

Endişelenmeli misin?

MetaMask ve Phantom, çoğu kullanıcının kullandıkları cüzdanların en güncel yazılım sürümlerini çalıştırdığından emin olmak için tarayıcılarını güncellemenin yeterli olacağını bildirdi. 

MetaMask blog gönderisine göre, yalnızca aşağıdaki koşulların tümüne uyuyorsanız endişelenmelisiniz: 

• Sabit sürücünüz şifrelenmemiş Gizli Kurtarma Şifrenizi güvenmediğiniz birinin elindeki bir cihazdaki bir MetaMask uzantısına aktardınız veya bilgisayarınızın güvenliği ihlal edildi.
  
  
• Bu içe aktarma işlemi sırasında Gizli Kurtarma Şifrenizi ekranda görüntülemek için "Gizli Kurtarma Şifresini Göster" onay kutusunu kullandınız.

MetaMask blog gönderisine göre; “Bilgisayarınız güvenmediğiniz kişilerden fiziksel olarak uzak değilse, sisteminizde tam disk şifrelemeyi etkinleştirmenizi öneririz.” “Ayrıca, fonlarınız bir donanım cüzdanı tarafından yönetiliyorsa bundan etkilenmezsiniz.”

Phantom'un blog yazısı da büyük ölçüde MetaMask'ınkiyle benzerdi. 

MetaMask, blog gönderisinde, kullanıcıların kimlik bilgilerinin ele geçirilmiş olabileceğine inanmaları durumunda yeni bir cüzdana geçmek için atmaları gereken adımları özetliyor.

Hatayı açığa çıkardığı için 50.000 $ ödül alan Halborn, çoğu kullanıcının yeni bir cüzdan adresine geçmesini tavsiye etti. Halborn'un kurucu ortağı Steve Walbroehl, CoinDesk'e şunları söyledi: 

"Bunun çok uzun süredir var olan bir şey olduğu gerçeği göz önüne alındığında, kimin mağdur olduğunu bilemezsiniz. Belki kötü bir phishing e-postasına tıkladınız ve makinenize erişimleri var. Belki şimdi yükseltmiş olmanıza rağmen birileri daha önce erişim aldı. Sadece çok fazla ihtiyatlı düşünüyorum, durumun kritikliği göz önüne alındığında, cüzdanı değiştirmek daha iyi.”

Walbroehl, “Bir numaralı tavsiyem, sadece bir donanım cüzdanı almaktır” diye ekledi.

Nasıl oldu? 

Güvenlik açığı, javascript dilinde, bazen bir kullanıcının gizli kurtarma şifresinin belirli bir süre boyunca yerel bellekte saklanmasına yol açan bir hatadan kaynaklandı (tam olarak ne kadar süre olduğu bilinemiyor, cihaza göre değişiklik gösterebilir). 

Bir kullanıcı bu ifadeyi güvenliği ihlal edilmiş veya başka bir şekilde güvenilmeyen bir cihaza girerse ve saldırgan tam olarak nereye bakacağını biliyorsa (veya daha büyük olasılıkla görev için özel bir araca sahipse) bu ifadeyi bellekten kaydırabiliyor.

Gizli bir kurtarma şifresi -aynı zamanda kök cümlesi veya anımsatıcı cümle olarak da adlandırılır - kullanıcıların akıllı cüzdan kurduklarında aldıkları 12 kelimelik bir dizi. Kullanıcıların cüzdanlarını kurtarması veya yeni bir cihazda kurması gerektiğinde bir ana anahtar görevi görüyor.

Bir kişinin gizli kurtarma şifresi kötü niyetli birinin eline geçerse, kişinin fonlarının tam kontrolünü ele geçirmek için kullanılabiliyor.

MetaMask, Temmuz 2021'de hatadan haberdar edildi ve bu yılın Mart ayında bir yama yayınladı. Phantom, hatayı Eylül 2021'de öğrendi ve Ocak ile Nisan 2022 arasında sorunu çözmek için birkaç yama yayımladı.