'Demonesch' Schwachstelle beaflosst Krypto Portemonnaie Patched vu Metamask, Brave, Phantom

Den 15. Juni hunn e puer Firmen déi Krypto Portemonnaie ubidden - wéi och d'Cybersec Firma verantwortlech fir Ausnotzen ze fannen - d'Existenz an de spéider Patching vun engem Sécherheetsprobleem ugekënnegt deen Browser Extensioun-baséiert Portemonnaie beaflosst.

D'Schwachheet, mam Codenumm "Demonic", gouf vu Sécherheetsfuerscher zu Halborn entdeckt, déi d'lescht Joer betraff Firmen ukomm sinn. Si sinn elo ëffentlech mat hiren Erkenntnisser gaang, nodeems se betraffene Parteien erlaabt hunn d'Thema am Viraus ze fixéieren an enger Offer fir Schued un Endverbraucher ze limitéieren.

Metamask, xDEFI, Brave, a Phantom betraff

Den Demonic Exploit - offiziell genannt CVE-2022-32969 - war ursprénglech entdeckt vum Halborn zréck am Mee 2021. Et beaflosst Portemonnaie mat BIP39 Mnemonics, wat erlaabt Erhuelungssätz vu schlechten Akteuren op afstand ze interceptéieren oder kompromittéiert Geräter ze benotzen, wat schlussendlech zu enger feindlecher Iwwernahm vum Portemonnaie féiert.
Wéi och ëmmer, den Exploit huet eng ganz spezifesch Sequenz vun Eventer gebraucht fir stattfannen.

Fir unzefänken, huet dëst Thema net mobilen Apparater beaflosst. Nëmme Portemonnaiebesëtzer, déi onverschlësselte Desktop-Geräter benotzen, ware vulnérabel - a si hätten déi geheim Erhuelungsphrase vun engem kompromittéierten Apparat missen importéieren. Schlussendlech hätt d'Optioun "Show Secret Recovery Phrase" misse benotzt ginn.

⚠Halborn kritt Major Sécherheet Bounty vun @MetaMask fir Critical Discovery⚠
Mir hunn eng kritesch Schwachstelle verroden déi beaflosst @MetaMask, @Brave, @ Phantom, @xdefi_wallet, an aner Browser-baséiert Krypto Portemonnaie - A kuerz ? op der Schwachstelle a wéi ze schützen? selwer:

— Halborn (@HalbornSecurity) Juni 15, 2022

Halborn prompt erreecht sinn un déi véier Firmen, déi duerch den Ausbeutung a Gefor fonnt goufen, an d'Aarbechten hunn am Geheimnis ugefaang fir d'Thema ze fixéieren ier et vu Black Hat Hacker entdeckt ka ginn.

"Wéinst der Schwieregkeet vun der Schwachstelle an der Unzuel vun de betraffene Benotzer, goufen technesch Detailer vertraulech gehal bis e gudde Glawe Effort konnt gemaach ginn fir betraff Portemonnaie Ubidder ze kontaktéieren.

Elo datt d'Portemonnaie Ubidder d'Méiglechkeet haten d'Thema ze restauréieren an hir Benotzer ze migréieren fir Erhuelungsphrasen ze sécheren, liwwert Halborn déif Detailer fir d'Sensibilitéit vun der Schwachstelle ze erhéijen an ze hëllefen ähnlechen an der Zukunft ze verhënneren.

Ausgab geléist, Vigilantes belount

Metamask Entwéckler Dan Finlay publizéiert e Blogpost deen d'Benotzer opfuerdert fir op déi lescht Versioun vum Portemonnaie ze aktualiséieren fir vum Patch ze profitéieren, wat d'Thema annuléiert. De Finlay huet se och gefrot fir op d'Sécherheet am Allgemengen opzepassen, Apparater zu all Moment verschlësselt ze halen.

De Blog Post huet och d'Ausbezuelung vun $50k un Halborn ugekënnegt fir d'Entdeckung vun der Schwachstelle als Deel vum Metamask's Bug Bounty Programm, deen Zommen tëscht $1k an $50k ausbezuelt, ofhängeg vun der Gravitéit.

Phantom huet och eng Erklärung iwwer dëst Thema erausginn, bestätegen d'Schwachheet gouf fir seng Benotzer gepatcht bis Abrëll 2022. D'Firma huet och Oussama Amri begréisst - den Expert hannert der Entdeckung vum Halborn - dem Phantom's Cybersec Team.

1/ Zënter Abrëll 2022 sinn Phantom Benotzer geschützt vun der "Demonescher" kritescher Schwachstelle bei Krypto Browser Extensiounen.

En aneren ustrengenden Patch rullt d'nächst Woch eraus, déi mir gleewen wäert maachen @ Phantom déi sécherst vun "Demonic" an der Industrie. https://t.co/bKE1olpzng

- Phantom (@phantom) Juni 15, 2022

All involvéiert Parteien hunn betraffene Benotzer gefuerdert fir sécherzestellen datt se op déi lescht Versioun vum Portemonnaie Upgrade hunn an déi jeeweileg Sécherheetsteams fir all zousätzlech Themen z'erreechen.