Metamask 中的重大安全漏洞......由“好黑客”发现,在坏人可以使用之前修复!
世界上最受欢迎的加密钱包 Metamask 宣布他们已经修补了一个可能是灾难的安全漏洞。
值得庆幸的是,它首先是由“优秀的黑客”发现的,他们立即通知 Metamask 这个漏洞,并告诉他们如何修复它。 该组织以“联合全球白帽安全团队”(UGWST)的名义获得了 120,000 美元的奖励,以发现该漏洞。
Metamask 告诉我们,没有用户受此漏洞影响。 UGWST 似乎是第一个也是唯一一个发现它的人,他们只与 Metamask 分享了他们的发现。
该策略包括伪装网站上的恶意代码,以便用户在没有意识到的情况下点击它。 例如,如果您陷入点击劫持,通过单击视频上的“播放”,您可能会授予对钱包中资金的访问权限。
Metamask 开发人员立即修复它...
只有浏览器扩展的用户才会面临风险,但这是访问 Metamask 钱包最流行的方法。 黑客演示了启动 Metamask 一个 iframe(即另一个网站中的一个网站)并将其设置为 0% 不透明度,换句话说,在一个完全透明的窗口中 - 用户不会知道它的存在。 然后就是欺骗用户点击他们屏幕上的特定位置,而不知道他们实际上正在按下一个确认交易的隐形按钮。
它可能看起来像一个弹出广告,但关闭它的“X”实际上是确认将所有以太坊发送给某人的按钮,例如。
确保您是最新的...
默认情况下 Metamask 会自动更新,但请仔细检查您的是否安全。 打开 Metamask,进入“设置”,然后进入“关于”,并确保您拥有 10.14.6 或更高版本。
如果其中任何一个数字较低,则需要更新。
永远的黑客行为可能是一项有利可图的冒险……
Metamask 向漏洞发现者奖励 120,000 美元是一种非常普遍的做法,几乎所有主要的科技公司都提供“漏洞赏金”,为黑客提供一种替代的、完全合法的方式来将他们的发现转化为利润。
发现这一点的组织 UGWST 还帮助了 Apple、Reddit、微软,并为 Crypto.com 和 OpenSea 进行了安全审计。
---------------
作者: 奥利弗·雷丁
西雅图新闻台 / / Dimefi 评论