मुख्य तथ्य:
मेटामास्क के 10.11.2 से कम के संस्करण इस भेद्यता से प्रभावित हो सकते हैं।
संभावित भेद्यता की स्थिति में, मेटामास्क धन को एक नए वॉलेट में स्थानांतरित करने की अनुशंसा करता है।
ब्राउज़र एक्सटेंशन वॉलेट में एक भेद्यता का पता चला है जो पुनर्प्राप्ति बीज तक दूरस्थ पहुंच की अनुमति देता है। दोष मेटामास्क के पिछले संस्करणों पर लागू होता है, विशेष रूप से 22 मार्च को जारी 10.11.2, और एक दिन बाद ठीक किया गया।
भेद्यता का पता हैलबोर्न साइबर सुरक्षा और अनुसंधान टीम ने लगाया, जिन्होंने प्रकाशित किया इस दोष पर दस्तावेज़ीकरण जिसने हमलावरों को उपयोगकर्ता निधि तक पहुंच की अनुमति दी.
जैसा कि हालबोर्न के प्रकाशन पर प्रकाश डाला गया है, भेद्यता को राक्षसी भेद्यता CVE-2022-32969 के रूप में जाना जाता है और कल, जून 15, जारी किया गया था। संभावित हमलों का मुकाबला करने के लिए विकास टीमों से संपर्क करने के उद्देश्य से.
विज्ञापन देना
विफलता पुनर्प्राप्ति बीज को बनाए जाने पर उजागर करने के कारण होती है। मेटामास्क में वॉलेट आयात करने के चरण-दर-चरण में, पुनर्प्राप्ति बीज देखने का एक विकल्प है (“गुप्त पुनर्प्राप्ति वाक्यांश दिखाएं”). इस प्रक्रिया को करते समय, हार्ड ड्राइव पर एक कॉपी सहेजी जाती है, जो अगर एन्क्रिप्टेड नहीं है, तो हमलावर के लिए इसे एक्सेस करना आसान हो जाता है और परिणामस्वरूप, उपयोगकर्ता के फंड की चोरी हो जाती है।
हैलबोर्न टीम के अनुसार, मेटामास्क में, 10.11.2 से पहले के सभी संस्करण इस हमले की चपेट में आ सकते हैं। फिर भी, यह ध्यान देने योग्य है कि इस वॉलेट से डाउनलोड करने के लिए उपलब्ध वर्तमान संस्करण 10.14.2 . के अनुरूप है.
गुप्त वाक्यांश दिखाने के विकल्प की जाँच करके, पुनर्प्राप्ति बीज को उजागर किया जा सकता है। स्रोत: मेटामास्क।
यह भी ध्यान देने योग्य है कि, चूंकि मेटामास्क एक ओपन सोर्स प्रोजेक्ट है, सभी स्रोत कोड आधारित एक्सप्लोरर वॉलेट जैसे फैंटम, ब्रेव और xDeFi इस भेद्यता से पीड़ित हो सकते हैं.
विज्ञापन देना
कुछ उपयोगकर्ता प्रभावित होंगे
इसके हिस्से के लिए मेटामास्क ने जवाब दिया कि भेद्यता “केवल बहुत विशिष्ट उपयोगकर्ताओं के एक छोटे समूह को प्रभावित करती है”, क्योंकि पुनर्प्राप्ति वाक्यांश दिखाने वाली फ़ाइल डिस्क से हटा दी जाती है, हालांकि वे निश्चित नहीं हो सकते कि किस समय। हलबोर्न सलाह देते हैं कि, इस प्रकार के मामलों को रोकने के लिए, एक बार वॉलेट आयात होने के बाद, आपको औसतन 30 सेकंड का इंतजार करना होगा और ब्राउज़र को पुनरारंभ करना होगाताकि अस्थायी मेमोरी से रिकवरी सीड को हटाने की प्रक्रिया पूरी हो सके।
इस भेद्यता का फायदा किसी ऐसे व्यक्ति द्वारा उठाया जा सकता है जिसके पास आपकी मशीन तक भौतिक पहुंच है या मैलवेयर द्वारा। हालांकि, यदि आपके उपकरण में मैलवेयर है, तो पहले से ही कई अन्य हमले हैं जिनसे हम रक्षा नहीं कर सकते हैं (जैसे कि कीलॉगर, प्रत्यक्ष मेमोरी एक्सेस और प्रोग्राम नियंत्रण)।
डैन फिनले, कॉन्सेसिस के विशेषज्ञ, मेटामास्क के डेवलपर।
मेटामास्क यह भी सुनिश्चित करता है कि यह भेद्यता मोबाइल उपकरणों के लिए इसके संस्करण को बिल्कुल भी प्रभावित न करे। उसी तरह से, यह अज्ञात है, अभी के लिए, अगर लोग प्रभावित हुए हैं इस दोष के लिए।
हालबोर्न टीम द्वारा खोजी गई बग या भेद्यता प्रमुख एथेरियम वॉलेट द्वारा सामना की जाने वाली पहली समस्या नहीं है।
हाल ही में, जून की शुरुआत में, जैसा कि क्रिप्टोनोटिसियस द्वारा रिपोर्ट किया गया, यह ज्ञात हो गया कि मेटामास्क ने एक भेद्यता की मरम्मत की जिसने हमलावरों को वेबसाइट पर बातचीत करते समय उपयोगकर्ता की सहमति के बिना उपयोगकर्ता के वॉलेट तक पहुंचने की अनुमति दी। इस भेद्यता की खोज करने वाली टीम को 120,000 अमरीकी डालर का पुरस्कार मिला. इसके अलावा, प्राप्तकर्ता की खोज के साथ हैलबोर्न टीम को 50,000 अमरीकी डालर के मेटामास्क से पुरस्कार मिला है।
मेटामास्क उपयोगकर्ताओं की सुरक्षा के लिए काफी प्रतिबद्ध प्रतीत होता है। नई कमजोरियों की खोज में सहयोग करने वालों को नकद पुरस्कार देने के अलावा, वॉलेट ने चोरी और हैकिंग के शिकार लोगों के लिए एक सहायता और सहायता सेवा शुरू की है।