В старых версиях кошелька MetaMask обнаружили уязвимость

Исследователи безопасности из компании Halborn обнаружили уязвимость большинства браузерных кошельков, включая MetaMask. Проблема затрагивает небольшой сегмент пользователей. Security researchers at @HalbornSecurity have disclosed a wallet vulnerability that affects a small segment of users across many browser-based wallets, including MetaMask.https://t.co/2tBl8BfISA1/ 🧵— MetaMask 🦊💙 (@MetaMask) June 15, 2022 Эксперты раскрыли случай, когда при определенных условиях секретная фраза восстановления, используемая веб-кошельками, могла быть извлечена с диска взломанного компьютера. Разработчики устранили уязвимость в версии MetaMask Extension 10.11.3. Однако они предупредили, что риску могут подвергнуться пользователи, для которых справедливы следующие условия: жесткий диск не был зашифрован;фраза восстановления импортировалась на чужом устройстве или компьютер был скомпрометирован;использовался флажок "Показать секретную фразу восстановления" для просмотра текста на экране (изображение ниже). Данные: MetaMask. Команда MetaMask отметила, что уязвимость связана с тем, что браузеры не рассматривают атаки с физическим доступом в качестве угрозы и сохраняют все текстовые вводы в памяти устройства. Полностью устранить риск можно только полным шифрованием диска. В числе других рекомендаций разработчиков: очистка кеша браузера и антивирусная защита компьютера. "Ни кошелек, ни ПО не смогут обезопасить себя, если система, в которой они работают, скомпрометирована", — отметили они. За раскрытие уязвимости компания Halborn получила вознаграждение в размере $50 000. Напомним, в июне 2022 года команда MetaMask запустила баунти-программу в партнерстве с платформой HackerOne.