کشف آسیبپذیری امنیتی در متامسک و فانتوم که میتواند امنیت عبارات بازیابی را به خطر بیندازد
متامسک و فانتوم، دو کیف پول محبوب ارز دیجیتال، روز چهارشنبه در پستهای وبلاگی جداگانهای از اصلاح آسیبپذیری امنیتی جدی در افزونههای مرورگر خبر دادند که میتوانست اطلاعات لاگین کردن کاربران را در اختیار سارقان قرار دهد. ظاهرا این آسیبپذیری در ۱۰ کیف پول دیگر نیز مشاهده شده است.
به گزارش میهن بلاکچین و به نقل از کوین دسک، ارائهدهندگان این دو کیف پول خاطرنشان کردند هیچ مدرکی دال بر سو استفاده مهاجمان از این آسیبپذیری وجود ندارد، به این معنی که تاکنون وجوه کاربران تحت تاثیر این مسئله قرار نگرفته است.
ظاهرا متامسک و فانتوم این باگ را با کمک شرکت امنیت بلاکچین هالبورن (Halborn) کشف کردهاند. این شرکت به حداقل ۱۰ ارائهدهنده کیف پولهای مبتنی بر مرورگر دیگر نیز این آسیبپذیری را اطلاع داده است. در حال حاضر، لیست این کیف پولها مشخص نیست.
اگرچه این آسیبپذیری خیلی سریع برطرف شد و هیچ مدرکی مبنی بر سو استفاده هکرها از آن وجود ندارد، اما خطر امنیتی بالقوه کیف پولهای متصل به اینترنت را در مقایسه با کیف پولهای سختافزاری نشان میدهد.
آیا باید نگران بود؟
متامسک و فانتوم به کاربران توصیه کردهاند برای اطمینان از استفاده از بهروزترین نسخه نرمافزار، مرورگر خود را آپدیت کنند.
بر اساس پست وبلاگی متامسک، تنها باید در صورتی نگران باشید که همه این شرایط برای شما صدق کند:
- هارد دیسک شما رمزگذاری نشده است.
- عبارت بازیابی خود را در افزونه متامسک در دستگاه دیگری وارد کردید که در اختیار شخصی است که به آن اعتماد ندارید و یا کامپیوتر شما در اختیار دیگران است.
- شما در طول فرآیند بازیابی کیف پول، تیک قسمت «Show Secret Recovery Phrase» را زدهاید.
بر اساس پست وبلاگی متامسک، اگر افرادی که به آنها اعتماد ندارید به کامپیوتر شما دسترسی دارند، بایستی قابلیت رمزگذاری کامل هارد دیسک (full disk encryption) خود را فعال کنید. همچنین متامسک خاطرنشان کرد اگر وجوه شما در یک کیف پول سختافزاری قرار دارد تحت تاثیر این آسیبپذیری قرار نخواهید گرفت.
فانتوم نیز در پستی وبلاگی تا حد زیادی توصیههای متامسک را منعکس کرد.
همچنین در پست وبلاگی متامسک، مراحل انتقال به یک کیف پول جدید، در صورتی که افراد معتقدند وجوه آنها به خطر افتاده است، آورده شده است.
شرکت امنیتی هالبورن که برای کشف این باگ جایزهای ۵۰،۰۰۰ دلاری دریافت کرد، به اکثر کاربران توصیه میکند تا وجوه خود را به آدرس جدیدی منتقل کنند.
استیو والبروئل، یکی از بنیانگذاران هالبورن در این رابطه گفت:
این باگ برای مدت طولانی وجود داشته است و شما نمیدانید چه کسی ممکن است از آن استفاده کرده باشد. ممکن است قبلا روی یک لینک فیشینگ در ایمیلتان کلیک کرده باشید و هکرها به دستگاهتان دسترسی داشته باشند. شاید کسی قبل از اینکه بهروزرسانی را انجام دهید، به اطلاعات لاگین شما دسترسی پیدا کرده باشد. برای احتیاط، لازم است کیف پول خود را عوض کنید.
وی در ادامه گفت:
توصیه اکید من این است که فقط و فقط یک کیف پول سختافزاری تهیه کنید.
این آسیبپذیری چگونه رخ داد؟
این آسیبپذیری ناشی از یک عملکرد در زبان برنامهنویسی جاوا اسکریپت است که گاهی اوقات باعث میشود عبارت بازیابی کاربران، برای مدتی در حافظه محلی دستگاه ذخیره شود. مدت زمان دقیقی که این عبارت در حافظه دستگاه میماند مشخص نیست و احتمالا بسته به هر دستگاه، متفاوت است.
حال اگر کاربری، عبارت بازیابی خود را در دستگاهی غیرقابل اعتماد وارد میکرد، اگر فردی از این باگ مطلع بود و ابزار تخصصی آن را در اختیار داشت، میتوانست به راحتی به عبارت بازیابی دسترسی پیدا کند.
عبارت بازیابی یا عبارت یادآور، مجموعهای از ۱۲ کلمه تصادفی است که کاربران هنگام ساخت یک کیف پول دریافت میکنند. در صورتی که عبارت بازیابی شخصی به دست دیگران بیفتد، امنیت وجوه به خطر خواهد افتاد.
کیف پول متامسک در جولای (تیر) ۲۰۲۱ از این باگ مطلع شد و در ماه مارس، یک پچ امنیتی عرضه کرد. فانتوم نیز در ماه سپتامبر (شهریور) از این باگ اطلاع پیدا کرد و بین ژانویه (دی) و آوریل (فروردین) ۲۰۲۲، چندین پچ برای رفع آن عرضه کرد.
- کاربران در مقابل این آسیبپذیری فانتوم و متامسک چه کاری باید انجام دهند؟
مطابق اطلاعیههای این کیف پولها، کاربران برای اطمینان باید مرورگر خود را آپدیت کنند. این کار آسیبپذیری موجود را از بین میبرد اما در صورتی که تردید دارید که شخصی از قبل با این روش عبارت امنیتی شما را به سرقت برده است؛ بهتر است کیف پول جدیدی را ایجاد کنید و داراییهای خود را به آن منتقل کنید.
