ION:慢霧：簡析 MetaMask 錢包 demonic 漏洞

Author：

Time：1900/1/1 0:00:00

使用過MetaMask版本低于10.11.3的用戶，如在導入助記詞時點擊了ShowSecretRecoveryPhrase，那么助記詞可能泄露了。2022年6月16日，MetaMask官方公布白帽子發現的一個被稱為demonicvulnerability的安全問題，漏洞影響的版本<10.11.3，由于MM的用戶體量較大，且基于MM進行開發的錢包也比較多，所以這個漏洞的影響面挺大的，因此MM也慷慨支付了白帽子5萬刀的賞金。當團隊向我同步了這個漏洞后，我開始著手對這個漏洞進行分析和復現。

漏洞分析

美國財長耶倫：支持美國監管機構對加密貨幣的監管:金色財經報道，美國財長耶倫表示，支持美國監管機構對加密貨幣的監管，以保護消費者和投資者。應加強加密貨幣監管，并將與國會合作推動通過更多立法。[2023/6/7 21:22:03]

白帽子將這個漏洞命名為demonicvulnerability，具體的漏洞描述比較復雜，為了讓大家更好的理解這個問題，我盡可能用簡單的表述來說明這個問題。在使用MM瀏覽器擴展錢包導入助記詞時，如果點擊"ShowSecretRecoveryPhrase"按鈕，瀏覽器會將輸入的完整助記詞明文緩存在本地磁盤，這是利用了瀏覽器本身的機制，即瀏覽器會將Tabs的頁面中的Text文本從內存保存到本地，以便在使用瀏覽器的時候可以及時保存頁面的狀態，用于下次打開頁面的時候恢復到之前的頁面狀態。

Victory Capital增持Coinbase股份:8月8日消息，知名資產管理公司Victory Capital Management Inc.已經額外購買了Coinbase Global Inc. 8944股（增加10.7%），目前已持有92,640 股Coinbase股票。根據相關財報數據顯示，Victory Capital Management Inc. 持有的Coinbase Global股份價值達到10,441,000 美元。（eftdailynews ）[2022/8/8 12:10:32]

基于對這個漏洞的理解，我開始進行漏洞復現，由于MM僅對這個漏洞進行簡要的描述并不公開漏洞細節，所以在復現的時候遇到了如下的問題：

借貸協議Alchemix披露一個清算函數Bug，目前已修復并為受影響用戶存入退還款:6月21日消息，DeFi 借貸協議 Alchemix 表示，有社區成員反饋其最初存入的抵押品數量與他們償還債務的數量之間存在差異，經調查，Alchemix 核心團隊注意到 Alchemist.liquidate() 函數中存在一個小 Bug。在 unwrap 之前，Alchemix 將被清算的份額數量轉換為必要數量的收益代幣，由于調用了錯誤的轉換函數，導致 Alchemist 清算的收益代幣比預期的多，結果導致對于調用 liquidate() 函數的任何用戶，他們的份額余額減少了正確的金額，但所有其他存款人都遭受了小額損失。Alchemix 已在發現問題之后的 24 小時內編寫并部署了修復。

Alchemix 核心團隊已對受此錯誤影響的所有賬戶進行了分析，截止今日已為受影響賬戶存入退還款。[2022/6/22 4:43:39]

緩存被記錄到磁盤中的文件路徑未知

STEPN新realm或將于7月開放:6月21日消息，Move to Earn應用STEPN在社交媒體上公布圖片預告，或暗示新realm將于7月開放。[2022/6/21 4:43:04]

緩存何時被記錄到磁盤未知

為了解決問題1，我開始對瀏覽器的緩存目錄結構進行分析和測試，發現在使用瀏覽器(chrome)的時候相關的Tabs緩存是記錄到了如下的目錄：

Tabs緩存路徑：

/Users/$(whoami)/Library/ApplicationSupport/Google/Chrome/Default/Sessions/

然后繼續解決問題2：Sessions目錄會記錄Tabs的緩存，為了找出緩存被記錄的時間節點，我對導入助記詞的整個流程進行了分解，然后在每一步操作之后去觀察Sessions的數據變化。發現在如下這個頁面輸入助記詞數據后，需要等待10-20s，然后關閉瀏覽器，明文的助記詞信息就會被記錄到Sessions緩存數據中。