ช่องโหว่ที่สำคัญในกระเป๋าเงิน crypto บนเบราว์เซอร์ที่ได้รับความนิยมสูงสุดบางตัวทำให้ผู้โจมตีสามารถเข้าถึง secret recovery phrases ที่เป็นความลับของผู้ใช้ผ่านการเข้าถึงระยะไกล
MetaMask และ Phantom กระเป๋าเงินเข้า crypto ของเบราว์เซอร์ที่ได้รับความนิยมมากที่สุดบางส่วนได้รับความเสียหายจากช่องโหว่ที่สำคัญซึ่งทำให้ขั้นตอนการกู้คืนกุญแจความลับของผู้ใช้เสี่ยงต่อการถูกขโมย
Crypto Wallets แก้ไขช่องโหว่ที่สำคัญ
ผู้ให้บริการกระเป๋าเงินของเบราว์เซอร์หลายรายได้ทำการแก้ไขช่องโหว่ที่มีมายาวนานได้สำเร็จ ตามรายงาน เมื่อวันพุธจาก Halborn บริษัทรักษาความปลอดภัยทางไซเบอร์ Crypto Wallet ที่ได้รับความนิยมสูงสุดอย่าง MetaMask, Phantom, Brave และ xDefi ได้รับความเสียหายจากช่องโหว่ที่สำคัญในซอฟต์แวร์ส่วนขยายเบราว์เซอร์
ภายใต้เงื่อนไขบางประการช่องโหว่ที่มีชื่อรหัสว่า “Demonic” ได้เปิดเผยขั้นตอนการกู้คืน secret recovery phrases ของผู้ใช้ ทำให้ผู้โจมตีมีโอกาสเข้าถึงเงินจำนวนหลายพันล้านดอลลาร์ในกระเป๋าเงินดิจิทัลได้ทั่วโลก
ในรายงาน Halborn อธิบายว่าช่องโหว่เกิดจากการอนุญาตให้เข้าถึงกระเป๋าเงิน crypto อย่างไม่ปลอดภัยบนเบราว์เซอร์ที่บันทึกเนื้อหาของอินพุตที่ไม่ใช่รหัสผ่าน รวมถึงสิ่งที่เรียกว่า secret recovery phrases ที่เป็นความลับ แม้จะเป็นข้อความธรรมดาที่ไม่ได้เข้ารหัสบนไดรฟ์ของผู้ใช้ แต่ก็เป็นส่วนหนึ่งของคุณลักษณะ “กู้คืนเซสชัน” ที่ทำให้ผู้ใช้ทั้งหมดที่นำเข้ากระเป๋าสตางค์ crypto บนเบราว์เซอร์ได้
ในบล็อกโพสต์ เมื่อวันพุธ ของ Phantom กระเป๋าเงินบนเครือข่าย Solana สังเกตว่า Halborn ได้แจ้งเตือนพวกเขาถึงช่องโหว่ของ Demonic เมื่อเดือนกันยายนปีที่แล้ว และพวกเขาได้เริ่มดำเนินการแก้ไขในเดือนมกราคม
Phantom ยืนยันว่าภายในเดือนเมษายนผู้ใช้ทุกคนได้รับการปกป้องจากช่องโหว่ดังกล่าว และระบุความตั้งใจที่จะแนะนำแพตช์ที่ละเอียดยิ่งขึ้นในสัปดาห์หน้า
ในทางกลับกัน MetaMask ได้แก้ไขช่องโหว่ในเวอร์ชัน 10.11.3 และใหม่กว่า ซึ่งทำให้ผู้ใช้บางรายที่เคยใช้กระเป๋าสตางค์ของเบราว์เซอร์เวอร์ชันเก่าในการกู้คืน secret recovery phrases อาจยังคงมีความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ใช้ฮาร์ดไดรฟ์ที่ไม่ได้เข้ารหัส
อย่างไรก็ตามเพื่อเป็นการป้องกันไว้ก่อน MetaMask แนะนำให้ผู้ใช้ติดตั้งกระเป๋าสตางค์ส่วนขยายเบราว์เซอร์เวอร์ชันใหม่ล่าสุดและย้ายเงินไปยังกระเป๋าเงินใหม่ จนถึงตอนนี้ยังไม่มีการรายงานช่องโหว่ที่เกี่ยวข้องกับช่องโหว่ของ Demonic