MetaMask, Phantom y otras billeteras de navegador revelaron en una publicación de blog publicada el miércoles que parchearon una vulnerabilidad de seguridad crítica. La vulnerabilidad podría haber expuesto credenciales de inicio de sesión de usuarios confidenciales en dispositivos que se habían visto comprometidos.
Sin embargo, los proveedores de billeteras declararon que no hay evidencia para creer que la vulnerabilidad fue alguna vez explotada, y no se sabe que los fondos de los usuarios hayan sido afectados por ella.
Antecedentes sobre la vulnerabilidad
El error fue descubierto luego de un aviso a MetaMask y Phantom por parte de la firma de seguridad blockchain Halborn. Halborn descubrió que la Frase de recuperación secreta utilizada por las billeteras basadas en la web (MetaMask, Phantom) podría extraerse de una máquina comprometida bajo condiciones específicas. Halborn declaró que la vulnerabilidad no afectó a los usuarios móviles de MetaMask y solo afectó a una pequeña sección de los usuarios de la extensión MetaMask, junto con los usuarios de otras extensiones de navegador y billeteras.
Entonces, ¿quién está en riesgo?
Tanto MetaMask como Phantom no recomiendan que los usuarios tomen medidas drásticas. La única acción recomendada para los usuarios fue actualizar sus navegadores para asegurarse de que sus billeteras/extensiones ejecuten sus versiones de software más recientes y actualizadas. MetaMask, en su publicación de blog, declaró que los usuarios solo deberían preocuparse si cumplen con los siguientes criterios.
- El disco duro de su máquina no estaba encriptado.
- Si usted, como usuario, importó su Frase de recuperación secreta a una extensión de dispositivo MetaMask en otro dispositivo que actualmente no está en su poder, o en posesión de cualquier persona en la que no confíe, o si cree que su computadora está comprometida.
- Si usó la casilla de verificación "Mostrar frase de recuperación secreta" y vio su frase de recuperación secreta en la pantalla durante el proceso de importación.
MetaMask declaró en su publicación de blog,
“Si su computadora no está físicamente protegida de personas en las que no confía, le recomendamos que habilite el cifrado de disco completo en su sistema. Además, esto no le afecta si sus fondos son administrados por una billetera de hardware”.
La publicación del blog de Phantom declaró en términos generales las mismas cosas que la publicación del blog de MetaMask.
La publicación también indicó que la vulnerabilidad impacta
- Todos los sistemas operativos de escritorio y extensiones de navegador.
- Todas las versiones de MetaMask anteriores a v10.11.3 en todas las versiones de navegador.
Cómo surgió la vulnerabilidad
La vulnerabilidad ocurrió gracias a una peculiaridad en el lenguaje de programación Javascript, que a veces resultó en que la Frase de recuperación secreta de un usuario se almacenara localmente durante un período de tiempo específico (cuánto tiempo varía de un dispositivo a otro). Si la frase se ingresó en un dispositivo no seguro o no confiable, un atacante podría potencialmente robarla de la memoria de la máquina si supiera dónde buscar, lo que le permitiría obtener el control de los fondos de una persona.
MetaMask emitió un parche para corregir el error en marzo de 2022, mientras que Phantom fue informado del error en septiembre de 2021 y emitió varios parches para solucionar el problema entre enero y abril.
Problemas anteriores con MetaMask
MetaMask también ha enfrentado varios problemas en el pasado. De vuelta en abril, MetaMask advirtió a sus usuarios sobre el potencial de un ataque de phishing a través de sus cuentas de iCloud. Los usuarios eran vulnerables al posible ataque si tenían habilitada la opción de copia de seguridad de iCloud en la aplicación. Justo un mes antes de esa advertencia, la plataforma había llegado bajo fuego de Crypto Twitter después de que una confusión condujo al bloqueo de los usuarios venezolanos para que no accedieran a los servicios. Esto ocurrió cuando MetaMask e Infura intentaron cumplir con las sanciones anunciadas por los Estados Unidos de América.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/06/metamask-phantom-disclose-vulnerability-that-put-user-credentials-at-risk