اخبار خارجی

کشف آسیب‌پذیری امنیتی در متامسک و فانتوم که می‌تواند امنیت عبارات بازیابی را به خطر بیندازد

متامسک و فانتوم، دو کیف پول محبوب ارز دیجیتال، روز چهارشنبه در پست‌های وبلاگی جداگانه‌ای از اصلاح آسیب‌پذیری امنیتی جدی در افزونه‌های مرورگر خبر دادند که می‌توانست اطلاعات لاگین کردن کاربران را در اختیار سارقان قرار دهد. ظاهرا این آسیب‌پذیری در ۱۰ کیف پول دیگر نیز مشاهده شده است.

به گزارش میهن بلاکچین و به نقل از کوین دسک، ارائه‌دهندگان این دو کیف پول خاطرنشان کردند هیچ مدرکی دال بر سو استفاده مهاجمان از این آسیب‌پذیری وجود ندارد، به این معنی که تاکنون وجوه کاربران تحت تاثیر این مسئله قرار نگرفته است.

ظاهرا متامسک و فانتوم این باگ را با کمک شرکت امنیت بلاکچین هالبورن (Halborn) کشف کرده‌اند. این شرکت به حداقل ۱۰ ارائه‌دهنده کیف پول‌های مبتنی بر مرورگر دیگر نیز این آسیب‌پذیری را اطلاع داده است. در حال حاضر، لیست این کیف پول‌ها مشخص نیست.

اگرچه این آسیب‌پذیری خیلی سریع‌ برطرف شد و هیچ مدرکی مبنی بر سو استفاده هکرها از آن وجود ندارد، اما خطر امنیتی بالقوه کیف پول‌های متصل به اینترنت را در مقایسه با کیف پول‌های سخت‌افزاری نشان می‌دهد.

آیا باید نگران بود؟

متامسک و فانتوم به کاربران توصیه کرده‌اند برای اطمینان از استفاده از به‌روزترین نسخه نرم‌افزار، مرورگر خود را آپدیت کنند.

بر اساس پست وبلاگی متامسک، تنها باید در صورتی نگران باشید که همه این شرایط برای شما صدق کند:

  • هارد دیسک شما رمزگذاری نشده است.
  • عبارت بازیابی خود را در افزونه متامسک در دستگاه دیگری وارد کردید که در اختیار شخصی است که به آن اعتماد ندارید و یا کامپیوتر شما در اختیار دیگران است.
  • شما در طول فرآیند بازیابی کیف پول، تیک قسمت «Show Secret Recovery Phrase» را زده‌اید.

بر اساس پست وبلاگی متامسک، اگر افرادی که به آنها اعتماد ندارید به کامپیوتر شما دسترسی دارند، بایستی قابلیت رمزگذاری کامل هارد دیسک (full disk encryption) خود را فعال کنید. همچنین متامسک خاطرنشان کرد اگر وجوه شما در یک کیف پول سخت‌افزاری قرار دارد تحت تاثیر این آسیب‌پذیری قرار نخواهید گرفت.

فانتوم نیز در پستی وبلاگی تا حد زیادی توصیه‌های متامسک را منعکس کرد.

همچنین در پست وبلاگی متامسک، مراحل انتقال به یک کیف پول جدید، در صورتی که افراد معتقدند وجوه آنها به خطر افتاده است، آورده شده است.

شرکت امنیتی هالبورن که برای کشف این باگ جایزه‌ای ۵۰،۰۰۰ دلاری دریافت کرد، به اکثر کاربران توصیه می‌کند تا وجوه خود را به آدرس جدیدی منتقل کنند.

استیو والبروئل، یکی از بنیانگذاران هالبورن در این رابطه گفت:

این باگ برای مدت طولانی وجود داشته است و شما نمی‌دانید چه کسی ممکن است از آن استفاده کرده باشد. ممکن است قبلا روی یک لینک فیشینگ در ایمیلتان کلیک کرده باشید و هکرها به دستگاهتان دسترسی داشته باشند. شاید کسی قبل از اینکه به‌روزرسانی را انجام دهید، به اطلاعات لاگین شما دسترسی پیدا کرده باشد. برای احتیاط، لازم است کیف پول خود را عوض کنید.

وی در ادامه گفت:

توصیه اکید من این است که فقط و فقط یک کیف پول سخت‌افزاری تهیه کنید.

این آسیب‌پذیری چگونه رخ داد؟

این آسیب‌پذیری ناشی از یک عملکرد در زبان برنامه‌نویسی جاوا اسکریپت است که گاهی اوقات باعث می‌شود عبارت بازیابی کاربران، برای مدتی در حافظه محلی دستگاه ذخیره شود. مدت زمان دقیقی که این عبارت در حافظه دستگاه می‌ماند مشخص نیست و احتمالا بسته به هر دستگاه، متفاوت است.

حال اگر کاربری، عبارت بازیابی خود را در دستگاهی غیرقابل اعتماد وارد می‌کرد، اگر فردی از این باگ مطلع بود و ابزار تخصصی آن را در اختیار داشت، می‌توانست به راحتی به عبارت بازیابی دسترسی پیدا کند.

عبارت بازیابی یا عبارت یادآور، مجموعه‌ای از ۱۲ کلمه تصادفی است که کاربران هنگام ساخت یک کیف پول دریافت می‌کنند. در صورتی که عبارت بازیابی شخصی به دست دیگران بیفتد، امنیت وجوه به خطر خواهد افتاد.

کیف پول متامسک در جولای (تیر) ۲۰۲۱ از این باگ مطلع شد و در ماه مارس، یک پچ امنیتی عرضه کرد. فانتوم نیز در ماه سپتامبر (شهریور) از این باگ اطلاع پیدا کرد و بین ژانویه (دی) و آوریل (فروردین) ۲۰۲۲، چندین پچ برای رفع آن عرضه کرد.

  • کاربران در مقابل این آسیب‌پذیری فانتوم و متامسک چه کاری باید انجام دهند؟

مطابق اطلاعیه‌های این کیف پول‌ها، کاربران برای اطمینان باید مرورگر خود را آپدیت کنند. این کار آسیب‌پذیری موجود را از بین می‌برد اما در صورتی که تردید دارید که شخصی از قبل با این روش عبارت امنیتی شما را به سرقت برده است؛ بهتر است کیف پول جدیدی را ایجاد کنید و دارایی‌های خود را به آن منتقل کنید.

منبع
coindesk

نوشته های مشابه

0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا