Halborn研究人员发现了一个问题:极少数情况下,可以在硬盘上找到未加密的用户私匙,该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复
背景
Halborn安全研究人员披露了一个实例,发现在某些条件下,可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会影响MetaMask移动端钱包用户,但会影响一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。了解该问题后,MetaMask已实施补救措施,目前对于使用10.11.3及更高版本的MetaMask浏览器扩展钱包用户,风险已经解除。但如果您满足以下3个条件,仍可能面临风险,请阅读下文,采取后续步骤:
l硬盘未加密
马斯克转发DOGE节点更新消息称很重要:8月30日消息,马斯克推特转发DOGE节点更新消息,称很重要。其中写道:目前有205台计算机正在运行最新升级。更多节点需要升级到1.14.4,并需要更多新节点。一旦有更高比例的新节点加入进来,开发团队将发布一项新升级。这有助于保护网络并降低交易费用。节点数量增加后,交易费将大降,更多企业将能使用DOGE。[2021/8/30 22:46:12]
l您将助记词导入了某个不信任的人的设备的MetaMask插件程序中,或者个人电脑已被入侵
l导入过程中,您曾打开“显示助记词”选项,在屏幕上查看助记词。
动态 | V神转发论文 论述“工作证明”替代方案“股权证明”:据bitcoinmagazine消息,V神重新转发论文《什么是股权证明,为什么它很重要》。论文中V神论述了一种替代“工作证明”的“股权证明”PPCoin,它由Sunny King创建的。PPCoin的股权证明算法工作如下。在创建一个股权证明块时,矿商需要构建一个“币币”交易,将自己拥有的钱以及预先设定的奖励(比如利率,类似于比特币的25比特币块奖励)发送给自己。SHA256散列仅根据事务输入、一些额外的固定数据和当前时间(以整数表示自1970年1月1日以来的秒数)计算。然后根据工作需求的证明来检查这个散列,就像比特币一样,只不过难度与交易输入的“硬币年龄”成反比。硬币时代定义为交易输入的大小,以PPcoins为单位,乘以输入存在的时间。由于散列仅基于时间和静态数据,因此无法通过执行更多的工作来快速生成散列;每秒钟,每个PPCoin事务输出都有一定的机会生成一个与它的时间和包含PPCoin数量成比例的有效作品,就是这样。从本质上说,每个PPCoin都可以充当“模拟采矿平台”,有趣的是,它的采矿能力随着时间线性增长,但每次找到一个有效的区块,它的采矿能力就会重置为零。[2019/1/24]
影响
动态 | 比特币耶稣转发相关开发者揭露澳本聪不当行为文章:BCH轻钱包Electron Cash首席开发者Jonald Fyookball日前在medium上发文表示,“暴君”澳本聪离开BCH社区是一件大快人心的事,文中还列出了澳本聪的此前涉嫌伪造、抄袭的一系列不当举动、其声称自己是中本聪的说法疑点重重、破坏BCH社区的种种行为以及未能兑现的承诺等。随后比特币耶稣Roger Ver转发了此文章,并附上关于澳本聪未兑现承诺的文章截图,包括:创建矿池阻止SegWit;推进大公司使用BCH链;披露可以将闪电网络置之死地的信息等。[2018/11/20]
这会影响到:
l我们测试过的所有桌面操作系统和浏览器。
l我们使用了GoogleChrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。
转发公告:关于小米链的声明[2017/9/5]
l所有浏览器版本上的所有MetaMask插件钱包。
lMetaMask移动端钱包不受影响。
助记词最终会被清除,但我们目前无法保证何时清除。
该漏洞最有可能影响到将助记词导入MetaMask后不久,其设备就被入侵或被盗的用户。
如果您满足所有上述条件,那么能访问您导入助记词的电脑的人就有可能获得您的助记词,您最好将资金从相关帐户中迁移出去,以确保安全。我们在此提供了一份迁移账户资金指南,使用任何第三方迁移工具都需要您自担风险。
无论是可以直接使用还是通过恶意软件控制您的设备的人都可以利用此漏洞。而如果设备已被恶意软件入侵,您还可能面临许多其他我们无法防御的攻击。
如果认为自己面临风险
如果有不信任的人可以使用您的电脑,我们建议您启用全硬盘加密。而如果您的资金由硬件钱包管理,您将不受影响。
受影响的用户应考虑将资金从使用相关助记词生成的旧钱包账户转移至由新助记词生成的新账户。我们提供了一份指南来帮助有需要的用户执行此操作,并给出了可简化该流程的软件选择。
下文将提供更多详情,以及关于如何最好地保障钱包安全的建议。稍后我们将披露有关该问题性质的更多细节,以帮助其他软件开发人员避免这些问题。但目前,我们首先要-提醒用户,以最大程度地降低盗窃风险。
我的安全性如何?
如上文所述,如果一台电脑被入侵,您将无法保障其中运行的任何程序的安全。
流行的密码管理器1Password团队探讨过这个问题。1Password首席安全架构师JeffreyGoldberg解释了解决该问题的难度:“这个问题广为人知,并已被公开讨论过多次,但任何看似合理的补救方案都可能会成事不足败事有余。”
使用密码管理器可能比不使用要安全,但也难以完全避免这一问题的影响。
结论
MetaMask最终发现,密码加密功能的部分安全性受到了浏览器行为的破坏。由于浏览器本身认为物理访问攻击超出了威胁模型范畴,而钱包是建立在浏览器之上的,因此要缩减这种攻击面需要耗费大量人力,即便如此也难以完全消除风险。说到底,可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。
这是您本该预期的风险吗?这取决于您是否认为可以在硬盘上恢复助记词。如果您认为自己的电脑需要时刻保持安全,那么应该没问题。但如果您认为MetaMask密码能保证只要无法使用您电脑的人就无法提取您的帐户,恐怕就说不准了。
从更高的层面上,我们应该普遍预期计算机、浏览器等都会多多少少存储输入的文本内容,不论是暂时的还是永久的。鉴于保护助记词的重要性,我们需要对这个具体场景引起注意,以便让用户采取相应的行动。
幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现助记词只有在非常特定的情况下才可能被提取出来。在Halborn等待披露的这段时间内,我们已经引入了新的保护措施,并计划实施更多措施。MetaMask将继续引入更多安全机制,以进一步降低风险。这意味着当您不使用钱包时,给钱包上锁仍是一个好习惯。
重点提示:
1.为电脑启用全硬盘加密。这是保障对您的电脑有物理访问权限的人无法提取所有内容的唯一方法。我们也建议使用硬件钱包提供额外的安全保障。
2.清除浏览器缓存
3.请牢记,确保电脑安全是您的责任。如果电脑系统被入侵,任何钱包或软件都无法保证安全。请花时间学习如何避免电脑被植入病。
MetaMask要感谢Halborn团队负责任地披露这一漏洞,并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授予了5万美元奖金。
撰文:DanFinlay,MetaMask
翻译:王尔玉、PANews
标签:METAMAMASMETTAMmetamaskapp下载metamask安卓手机版教程Meta Village Daometamask下载安装
Web3实用程序 Web3已经成为一个包罗万象的术语,代表着新的、更好的互联网的愿景。Web3的核心是使用区块链、加密货币和NFT,以所有权的形式将权力交还给用户.
1900/1/1 0:00:00“日前,《雪崩》的作者尼尔·斯蒂芬森先生与我的合伙人彼得·维塞内斯先生在纽约宣布正式启动元宇宙基础设施项目Lamina1。”吴鹰说:“作为该项目的投资人,我很高兴能与全球最顶尖的大脑们展开一次新的创业.
1900/1/1 0:00:00近几年,NFT作为一种独特、稀缺、有趣的资产类别,火速席卷了各大圈子,谁也未曾料到,这场最初只是技术在艺术圈的小试牛刀,却造就了现如今「NFT可万物」的景象.
1900/1/1 0:00:00头条 ▌人民网:数字藏品与NFT有所关联,但有本质区别金色财经报道,人民网今日刊文《数字藏品=NFT?有关联更有本质区别》。文章称,数字藏品与NFT有所关联,但有本质区别.
1900/1/1 0:00:00当我们称其为建设市场时,我们不仅仅指Crypto和Web3协议。现在也是建设自己的时候了。虽然Crypto市场现在显然非常惨淡,但Web3不会就此消失。这个行业比以往任何时候都更有资金和更有弹性.
1900/1/1 0:00:00介绍 众所周知,在加密领域,“稳定币”(stablecoin)是一个用词不当的词。首先,这些资产的稳定性差异很大。其次,术语“稳定币”指的是在加密生态系统中保持某些价值或“挂钩”的许多不同技术.
1900/1/1 0:00:00