MetaMask cảnh báo lỗ hổng bảo mật nghiêm trọng
Ngày 15/6, MetaMask chia sẻ trên Twitter của mình rằng với sự trợ giúp của các nhà nghiên cứu bảo mật tại Halborn, họ đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong các phiên bản cũ của ví tiền điện tử. Công ty bảo mật đã được thưởng 50,000 USD cho người phát hiện lỗ hổng này.
Security researchers at @HalbornSecurity have disclosed a wallet vulnerability that affects a small segment of users across many browser-based wallets, including MetaMask.https://t.co/2tBl8BfISA
— MetaMask 🦊💙 (@MetaMask) June 15, 2022
1/ 🧵
Theo MetaMask, đối với người dùng tiện ích mở rộng MetaMask trước phiên bản 10.11.3, ba điều kiện cần thiết sẽ dẫn đến lỗ hổng tiềm ẩn.
- Ổ cứng không được mã hóa.
- Nhập cụm từ khôi phục bí mật (secret recovery phrase) vào tiện ích mở rộng MetaMask trên một thiết bị bị xâm nhập, bị đánh cắp hoặc có quyền truy cập trái phép.
- Sử dụng cụm từ "Hiển thị cụm từ khôi phục bí mật" (Show Secret Recovery Phrase) để xem cụm từ khôi phục bí mật trên màn hình trong quá trình nhập.
Theo MetaMask, điều này ảnh hưởng đến:
- Tất cả các hệ điều hành và trình duyệt dành cho máy tính để bàn với các trình duyệt Google Chrome, Chromium và Firefox trên hệ điều hành Windows, macOS và Linux.
- Tất cả các phiên bản của tiện ích mở rộng MetaMask (trước v10.11.3) trên tất cả các phiên bản trình duyệt.
Qua đó, MetaMask cảnh báo những người dùng bị ảnh hưởng di chuyển tiền từ ví bị xâm nhập. Một vài điều quan trọng người dùng cần lưu ý khi sử dụng ví lưu trữ tài sản:
- Kích hoạt mã hóa toàn bộ ổ đĩa trên máy tính: đây là cách duy nhất để chắc chắn rằng không ai có quyền truy cập vào máy tính và trích xuất tất cả nội dung. Bên cạnh đó, người dùng có thể sử dụng ví phần cứng như một biện pháp bảo mật bổ sung.
- Xóa dữ liệu bộ nhớ cache (bộ đệm) của trình duyệt.
- Hãy dành thời gian để tìm hiểu cách tránh cài đặt phần mềm chống virus vào máy tính.
Thời gian qua, rất nhiều nhà đầu tư mất tiền khi lưu trữ tài sản trên các ví tiền điện tử non-custodial. Phần lớn là do họ để lộ passpharse, kết nối vào các trang web lừa đảo,...
Để an toàn, nhà đầu tư "không nên bỏ trứng vào cùng một giỏ", hãy lưu trữ tài sản ở nhiều ví khác nhau. Không nên lưu trữ passphrase trên thiết bị có kết nối wifi. Đối với ví chính, nhà đầu tư chỉ nên dùng để trữ coin, không nên cấp kết nối, cấp quyền truy cập cho bên thứ 3.
Đọc thêm: 15 cách bảo vệ tài khoản Crypto của bạn khỏi các Hacker