«Демоническая» уязвимость, затрагивающая криптокошельки, исправлена ​​Metamask, Brave, Phantom

15 июня несколько компаний, предоставляющих криптовалютные кошельки, а также фирма Cybersec, ответственная за поиск эксплойтов, объявили о существовании и последующем обновлении проблемы безопасности, затрагивающей кошельки на основе расширений браузера.

Уязвимость под кодовым названием «Demonic» была обнаружена исследователями безопасности из Halborn, которые обратились к пострадавшим компаниям в прошлом году. Теперь они опубликовали свои выводы после того, как затронутые стороны заранее устранили проблему, пытаясь ограничить вред для конечных пользователей.

Metamask, xDEFI, Brave и Phantom затронуты

Демоническая эксплуатация, официально называемая CVE-2022-32969, была первоначально обнаружена Халборном еще в мае 2021 года. Она затронула кошельки с использованием мнемоники BIP39, так что фразы восстановления могли быть перехвачены злоумышленниками удаленно или с использованием скомпрометированных устройств, что в конечном итоге привело к к враждебному захвату кошелька.
Однако для эксплуатации требовался очень специфический ход событий.

Начнем с того, что эта проблема не коснулась мобильных устройств. Уязвимы были только владельцы кошельков, которые использовали незашифрованные настольные устройства — и им пришлось бы импортировать секретную фразу восстановления со взломанного устройства. Наконец, можно было бы использовать опцию «Показать секретную фразу восстановления».

AlHalborn получает большую награду за безопасность от @МетаМаск для критического открытия
Мы обнаружили критическую уязвимость, которая затрагивает @МетаМаск, @Храбрый, @Фантом, @xdefi_lommebokи другие браузерные криптокошельки – Кратко 🧵 об уязвимости и о том, как вы можете защитить 🔐 себя:

– Халборн (@HalbornSecurity) 15 июня 2022 г.

Халборн быстро связался с четырьмя компаниями, которым, как выяснилось, угрожала эксплуатация, и началась тайная работа по устранению проблемы до того, как она была обнаружена черными хакерами.

«Из-за серьезности уязвимости и количества затронутых пользователей технические детали держались в секрете до тех пор, пока не были предприняты добросовестные усилия для связи с затронутыми поставщиками кошельков.

Теперь, когда поставщики кошельков получили возможность исправить проблему и перевести своих пользователей на безопасные фразы восстановления, Халборн предоставляет подробные сведения, чтобы повысить осведомленность об уязвимости и помочь предотвратить подобные проблемы в будущем».

Проблема решена, бдительные вознаграждены

Разработчик Metamask Дэн Финли опубликовал сообщение в блоге, в котором призвал пользователей обновить свой кошелек до последней версии, чтобы воспользоваться преимуществами обновления, которое устраняет проблему. Финли также попросил их обратить внимание на безопасность в целом и всегда держать устройства в зашифрованном виде.

В сообщении в блоге также было объявлено о выплате Halborn в размере 50 тысяч долларов за обнаружение уязвимости в рамках программы вознаграждения за обнаружение ошибок Metamask, которая выплачивает суммы от 1 до 50 тысяч долларов, в зависимости от серьезности.

Phantom также выступил с заявлением по этому поводу, подтвердив, что уязвимость была устранена для пользователей к апрелю 2022 года. Компания также приветствовала Уссаму Амри — эксперта, стоявшего за открытием Халборна, — в команду кибербезопасности Phantom.

1 / С апреля 2022 года пользователи Phantom защищены от критической уязвимости «Demonic» в расширениях криптобраузера.

На следующей неделе выйдет еще одно исчерпывающее обновление, которое, как мы думаем, @Фантом самый безопасный от “Demonic” в индустрии. https://t.co/bKE1olpzng

– Фантом (@фантом) 15 июня 2022 г.

Все вовлеченные стороны призвали затронутых пользователей убедиться, что они обновили кошелек до последней версии, и связаться с соответствующими группами безопасности по любым дополнительным вопросам.