使用過MetaMask版本低于10.11.3的用戶,如在導入助記詞時點擊了ShowSecretRecoveryPhrase,那么助記詞可能泄露了。2022年6月16日,MetaMask官方公布白帽子發現的一個被稱為demonicvulnerability的安全問題,漏洞影響的版本<10.11.3,由于MM的用戶體量較大,且基于MM進行開發的錢包也比較多,所以這個漏洞的影響面挺大的,因此MM也慷慨支付了白帽子5萬刀的賞金。當團隊向我同步了這個漏洞后,我開始著手對這個漏洞進行分析和復現。
漏洞分析
美國財長耶倫:支持美國監管機構對加密貨幣的監管:金色財經報道,美國財長耶倫表示,支持美國監管機構對加密貨幣的監管,以保護消費者和投資者。應加強加密貨幣監管,并將與國會合作推動通過更多立法。[2023/6/7 21:22:03]
白帽子將這個漏洞命名為demonicvulnerability,具體的漏洞描述比較復雜,為了讓大家更好的理解這個問題,我盡可能用簡單的表述來說明這個問題。在使用MM瀏覽器擴展錢包導入助記詞時,如果點擊"ShowSecretRecoveryPhrase"按鈕,瀏覽器會將輸入的完整助記詞明文緩存在本地磁盤,這是利用了瀏覽器本身的機制,即瀏覽器會將Tabs的頁面中的Text文本從內存保存到本地,以便在使用瀏覽器的時候可以及時保存頁面的狀態,用于下次打開頁面的時候恢復到之前的頁面狀態。
Victory Capital增持Coinbase股份:8月8日消息,知名資產管理公司Victory Capital Management Inc.已經額外購買了Coinbase Global Inc. 8944股(增加10.7%),目前已持有92,640 股Coinbase股票。根據相關財報數據顯示,Victory Capital Management Inc. 持有的Coinbase Global股份價值達到10,441,000 美元。(eftdailynews )[2022/8/8 12:10:32]
基于對這個漏洞的理解,我開始進行漏洞復現,由于MM僅對這個漏洞進行簡要的描述并不公開漏洞細節,所以在復現的時候遇到了如下的問題:
借貸協議Alchemix披露一個清算函數Bug,目前已修復并為受影響用戶存入退還款:6月21日消息,DeFi 借貸協議 Alchemix 表示,有社區成員反饋其最初存入的抵押品數量與他們償還債務的數量之間存在差異,經調查,Alchemix 核心團隊注意到 Alchemist.liquidate() 函數中存在一個小 Bug。在 unwrap 之前,Alchemix 將被清算的份額數量轉換為必要數量的收益代幣,由于調用了錯誤的轉換函數,導致 Alchemist 清算的收益代幣比預期的多,結果導致對于調用 liquidate() 函數的任何用戶,他們的份額余額減少了正確的金額,但所有其他存款人都遭受了小額損失。Alchemix 已在發現問題之后的 24 小時內編寫并部署了修復。
Alchemix 核心團隊已對受此錯誤影響的所有賬戶進行了分析,截止今日已為受影響賬戶存入退還款。[2022/6/22 4:43:39]
緩存被記錄到磁盤中的文件路徑未知
STEPN新realm或將于7月開放:6月21日消息,Move to Earn應用STEPN在社交媒體上公布圖片預告,或暗示新realm將于7月開放。[2022/6/21 4:43:04]
緩存何時被記錄到磁盤未知
為了解決問題1,我開始對瀏覽器的緩存目錄結構進行分析和測試,發現在使用瀏覽器(chrome)的時候相關的Tabs緩存是記錄到了如下的目錄:
Tabs緩存路徑:
/Users/$(whoami)/Library/ApplicationSupport/Google/Chrome/Default/Sessions/
然后繼續解決問題2:Sessions目錄會記錄Tabs的緩存,為了找出緩存被記錄的時間節點,我對導入助記詞的整個流程進行了分解,然后在每一步操作之后去觀察Sessions的數據變化。發現在如下這個頁面輸入助記詞數據后,需要等待10-20s,然后關閉瀏覽器,明文的助記詞信息就會被記錄到Sessions緩存數據中。
分析結論
用戶正常在使用MM的時候是將助記詞相關的數據放入內存中進行存儲,一般認為是相對較為安全的,但是由于demonicvulnerability這個漏洞導致助記詞會被緩存到本地磁盤,因此就會有如下的新的利用場景:
明文的助記詞數據緩存在本地磁盤,可以被其他應用讀取,在PC電腦中很難保證其他應用程序不去讀取Sessions緩存文件。
明文的助記詞數據緩存在本地磁盤,如果磁盤未被加密,可以通過物理接觸恢復助記詞。比如在類似維修電腦等場景下,當他人對電腦進行物理接觸時可以從硬盤中讀取助記詞數據。
作為普通用戶,如果你使用過MetaMaskVersion<10.11.3,且在導入助記詞的時候點擊了ShowSecretRecoveryPhrase,那么你的助記詞有可能泄露了,可以參考MetaMask的文章對磁盤進行加密并更換錢包遷移數字資產。
作為擴展錢包項目方,如果采用了在Tabs頁面中以Text的方式輸入助記詞導入錢包,均受到demonicvulnerability漏洞的影響,可以參考MetaMaskVersion>=10.11.3的實現,為每個助記詞定義單獨的輸入框,并且輸入框的類型為Password。
原文標題:《MetaMask瀏覽器擴展錢包demonic漏洞分析》
撰文:Thinking@慢霧安全團隊
來源:ForesightNews
來源:金色財經
Wyvern是1階去中心化交換協議。對比其他協議,例如Etherdelta、0x和Dexy是0階的,也就是每個訂單指定兩個去中心化資產的交易.
1900/1/1 0:00:00Filecoin、Arweave、Storj、CrustNetwork、Sia和Swarm,誰是最佳的去中心化存儲方案?如果我們想在去中心化互聯網更進一步.
1900/1/1 0:00:00近日,西安明創智享信息技術有限公司與西安大渭文化科技商貿集團有限公司經過幾輪磋商達成深度戰略合作伙伴關系.
1900/1/1 0:00:00原文標題:市場危機分析|其一:DeFi偽創新導致市場失靈作者按:整整兩年前,2020年6月15日,Compound推出了后來被稱為“流動性挖礦”的激勵措施.
1900/1/1 0:00:00最近上線的一款游戲“MiningNetwork”,從發行至今一直位居榜首,成為最受歡迎的元宇宙NFT游戲之一.
1900/1/1 0:00:00“元宇宙”概念躥紅,GameFi新項目NBOX全球同步上線隨著美國著名社交平臺Facebook將公司更名為“Meta”。元宇宙概念一下躥紅,區塊鏈游戲被世人所熟知.
1900/1/1 0:00:00