Channel logo
MarginATM
Save
Copy link

MetaMask cảnh báo lỗ hổng bảo mật nghiêm trọng

Mới đây, MetaMask thông báo lỗ hổng bảo mật nghiêm trọng có thể khiến các nhà đầu tư mất sạch tiền trong ví ở các phiên bản cũ trên trình duyệt máy tính. Nhà nghiên cứu bảo mật tại Halborn trên đã được MetaMask thưởng 50,000 USD cho phát hiện trên.
Avatar
kaylin
Published Jun 16 2022
Updated Oct 19 2022
3 min read
thumbnail

Ngày 15/6, MetaMask chia sẻ trên Twitter của mình rằng với sự trợ giúp của các nhà nghiên cứu bảo mật tại Halborn, họ đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong các phiên bản cũ của ví tiền điện tử. Công ty bảo mật đã được thưởng 50,000 USD cho người phát hiện lỗ hổng này.

Theo MetaMask, đối với người dùng tiện ích mở rộng MetaMask trước phiên bản 10.11.3, ba điều kiện cần thiết sẽ dẫn đến lỗ hổng tiềm ẩn.

  • Ổ cứng không được mã hóa.
  • Nhập cụm từ khôi phục bí mật (secret recovery phrase) vào tiện ích mở rộng MetaMask trên một thiết bị bị xâm nhập, bị đánh cắp hoặc có quyền truy cập trái phép.
  • Sử dụng cụm từ "Hiển thị cụm từ khôi phục bí mật" (Show Secret Recovery Phrase) để xem cụm từ khôi phục bí mật trên màn hình trong quá trình nhập.
Cảnh báo khi Import wallet vào Metamask

Theo MetaMask, điều này ảnh hưởng đến:

  • Tất cả các hệ điều hành và trình duyệt dành cho máy tính để bàn với các trình duyệt Google Chrome, Chromium và Firefox trên hệ điều hành Windows, macOS và Linux.
  • Tất cả các phiên bản của tiện ích mở rộng MetaMask (trước v10.11.3) trên tất cả các phiên bản trình duyệt.

Qua đó, MetaMask cảnh báo những người dùng bị ảnh hưởng di chuyển tiền từ ví bị xâm nhập. Một vài điều quan trọng người dùng cần lưu ý khi sử dụng ví lưu trữ tài sản:

  • Kích hoạt mã hóa toàn bộ ổ đĩa trên máy tính: đây là cách duy nhất để chắc chắn rằng không ai có quyền truy cập vào máy tính và trích xuất tất cả nội dung. Bên cạnh đó, người dùng có thể sử dụng ví phần cứng như một biện pháp bảo mật bổ sung.
  • Xóa dữ liệu bộ nhớ cache (bộ đệm) của trình duyệt.
  • Hãy dành thời gian để tìm hiểu cách tránh cài đặt phần mềm chống virus vào máy tính.

Thời gian qua, rất nhiều nhà đầu tư mất tiền khi lưu trữ tài sản trên các ví tiền điện tử non-custodial. Phần lớn là do họ để lộ passpharse, kết nối vào các trang web lừa đảo,... 

Để an toàn, nhà đầu tư "không nên bỏ trứng vào cùng một giỏ", hãy lưu trữ tài sản ở nhiều ví khác nhau. Không nên lưu trữ passphrase trên thiết bị có kết nối wifi. Đối với ví chính, nhà đầu tư chỉ nên dùng để trữ coin, không nên cấp kết nối, cấp quyền truy cập cho bên thứ 3.

Đọc thêm: 15 cách bảo vệ tài khoản Crypto của bạn khỏi các Hacker

RELEVANT SERIES