MetaMask, ứng dụng ví tiền điện tử hàng đầu trên Ethereum, đã cảnh báo người dùng cần lưu ý về lỗ hổng bảo mật nghiêm trọng.
Trong thời đại bùng nổ của NFT (Non-Fungible Token) do tính năng độc đáo của nó đã khiến NFT trở thành một tài sản kỹ thuật số trong trò chơi, một tác phẩm nghệ thuật tiền điện tử sưu tầm được hoặc thậm chí là một vật thể trong thế giới thực như bất động sản. Và khi NFT được coi là một tài sản, nhiều mối nguy hiểm cũng đi kèm với nó.
Gần đây, với sự giúp đỡ của các chuyên gia bảo mật của Halborn, MetaMask đã phát hiện ra một lỗ hổng bảo mật tiềm ẩn có thể gây mất tài sản của người dùng trong các phiên bản cũ hơn của MetaMask Extension. Theo mô tả của MetaMask, cụm từ khôi phục bí mật có thể được tìm thấy trong bộ nhớ của thiết bị trong một số trường hợp như ổ cứng không được mã hóa, thông tin đăng nhập vào ví MetaMask Extension (phiên bản 10.11.2 trở về trước). ) trên một số máy tính bị người khác giám sát hoặc nhấn nút “Hiển thị bí mật khôi phục” khi nhập mã để đăng nhập vào trình duyệt.
Các nhà nghiên cứu bảo mật tại @HalbornSecurity đã tiết lộ một lỗ hổng ví ảnh hưởng đến một bộ phận nhỏ người dùng trên nhiều ví dựa trên trình duyệt, bao gồm MetaMask.https: //t.co/2tBl8BfISA
1 /
– MetaMask (@MetaMask) Ngày 15 tháng 6 năm 2022
Nhóm MetaMask cho biết:
“Cuối cùng, chúng tôi đã tìm ra nguyên nhân của vi phạm bảo mật của nền tảng, một phần là do hành vi của trình duyệt. Vì bản thân các trình duyệt coi các cuộc tấn công vật lý nằm ngoài hàng rào đe dọa ”.
Đối với người dùng MetaMask Extension không phân biệt hệ điều hành sử dụng các phiên bản ví cũ trước ngày 10.11.3, nếu rơi vào 3 điều kiện sau, họ có thể dễ dàng tiếp tay cho hacker “cuỗm” hết tài sản:
- Ổ cứng không được mã hóa.
- Đã nhập cụm từ khôi phục (Cụm từ khôi phục bí mật) vào Tiện ích mở rộng MetaMask trên một thiết bị bị xâm phạm khác.
- Đã nhấp để xem “Hiển thị cụm từ khôi phục bí mật” trên một thiết bị không an toàn.
Nếu không may bị “liệt” vào 3 gạch đầu dòng trên, MetaMask khuyến nghị người dùng nên chuyển toàn bộ tài sản sang ví khác. Tuy nhiên, không có gì phải lo lắng nếu người dùng đang sử dụng phiên bản di động của ví. Sự cố trên sẽ hiếm gặp trên các phiên bản ví từ 10.11.3 trở đi, vì vậy việc cập nhật ứng dụng cũng là điều cần thiết mà người dùng nên làm ngay. Ngoài ra, MetaMask cũng đề xuất các gợi ý sau:
- Dành thời gian để bật mã hóa toàn bộ ổ đĩa trên máy tính của bạn. Đó là cách duy nhất để đảm bảo rằng tin tặc không thể trích xuất tất cả nội dung của máy tính. Người dùng cũng có thể coi việc sử dụng ví phần cứng như một biện pháp bảo mật bổ sung.
- Thường xuyên xóa dữ liệu bộ nhớ cache của trình duyệt.
- Giữ máy tính của bạn an toàn. Không có ví hoặc phần mềm nào có thể tự giữ an toàn nếu hệ thống mà nó đang chạy bị xâm phạm. Dành thời gian để tìm hiểu các cách loại bỏ “vi-rút” khỏi thiết bị cá nhân.
Bên cạnh MetaMask, các Tiện ích mở rộng Wallet khác như Phantom, Brave và XDefi Đây cũng là nơi thường xuyên xảy ra tin tặc nên người dùng cũng nên cảnh giác cao độ.
1 / Kể từ tháng 4 năm 2022, người dùng Phantom được bảo vệ khỏi lỗ hổng nghiêm trọng “Demonic” trong các tiện ích mở rộng trình duyệt tiền điện tử.
Một bản vá toàn diện khác sẽ được tung ra vào tuần tới mà chúng tôi tin rằng sẽ thực hiện @Ma an toàn nhất từ ”Demonic” trong ngành. https://t.co/bKE1olpzng
– Phantom (@phantom) Ngày 15 tháng 6 năm 2022
Có thể thấy, “Attack” dường như đã trở thành một từ khóa “xu hướng” trong thời gian gần đây. Khi một lượng lớn người dùng crypto bước vào làn sóng NFT, cũng đồng nghĩa với việc ngày càng có nhiều “mồi ngon” để hacker “làm thịt”. Tin tặc ẩn náu dưới nhiều hình thức mà người dùng không thể lường trước được.
Làm thế nào bạn tìm thấy bài viết này: