Vào ngày 15 tháng 6, một số công ty cung cấp ví tiền điện tử – cũng như công ty mạng chịu trách nhiệm tìm kiếm lỗ hổng bảo mật – đã thông báo về sự tồn tại và bản cập nhật vá lỗi của một vấn đề bảo mật ảnh hưởng đến ví dựa trên tiện ích mở rộng của trình duyệt.
Lỗ hổng có tên mã “Demonic” được phát hiện bởi các nhà nghiên cứu bảo mật tại Halborn, những người đã tiếp cận các công ty bị ảnh hưởng vào năm ngoái. Hiện họ đã công khai các phát hiện của mình, cho phép các bên bị ảnh hưởng khắc phục sự cố trước nhằm hạn chế thiệt hại cho người dùng.
Metamask, xDEFI, Brave và Phantom đều bị ảnh hưởng
Lỗ hổng bảo mật Demonic – có tên chính thức là CVE-2022-32969 – ban đầu được phát hiện bởi Halborn vào tháng 5 năm 2021. Nó ảnh hưởng đến các ví sử dụng kỹ thuật ghi nhớ BIP39, cho phép các cụm từ khôi phục bị kẻ xấu chặn từ xa hoặc sử dụng các thiết bị bị xâm nhập, cuối cùng dẫn đến sự mất quyền quản lý của ví vào tay kẻ gian.
Tuy nhiên, để có thể khai thác lỗ hổng bảo mật này, kẻ gian sẽ cần một chuỗi sự kiện rất cụ thể.
Đầu tiên, sự cố này không ảnh hưởng đến thiết bị di động. Chỉ những chủ sở hữu ví sử dụng thiết bị máy tính để bàn không được mã hóa mới dễ bị tấn công – và họ sẽ phải nhập cụm từ khôi phục bí mật từ một thiết bị đã bị xâm nhập. Cuối cùng, tùy chọn “Hiển thị Cụm từ Khôi phục Bí mật” sẽ phải được sử dụng.
Halborn nhanh chóng liên hệ với bốn công ty bị phát hiện có nguy cơ bị khai thác và công việc bắt đầu bí mật để khắc phục sự cố trước khi nó có thể bị phát hiện bởi tin tặc mũ đen.
“Do mức độ nghiêm trọng của lỗ hổng bảo mật và số lượng người dùng có thể bị ảnh hưởng, các chi tiết kỹ thuật được giữ bí mật cho đến khi liên hệ được với các nhà cung cấp ví bị ảnh hưởng.
Giờ đây, các nhà cung cấp ví đã có cơ hội khắc phục sự cố và khuyến nghị người dùng của họ đổi các cụm từ khôi phục an toàn, Halborn đang cung cấp thông tin chi tiết chuyên sâu để nâng cao nhận thức về lỗ hổng bảo mật và giúp ngăn chặn những lỗ hổng tương tự trong tương lai.”
Sự cố đã được giải quyết, những người cảnh báo được khen thưởng
Nhà phát triển Metamask Dan Finlay đã xuất bản một bài đăng trên blog kêu gọi người dùng cập nhật lên phiên bản mới nhất của ví để được hưởng lợi từ bản vá, điều này đã vô hiệu hóa vấn đề. Finlay cũng yêu cầu họ chú ý đến bảo mật nói chung, giữ cho các thiết bị luôn được mã hóa.
Bài đăng trên blog cũng thông báo khoản thanh toán 50.000 USD cho Halborn cho việc phát hiện ra lỗ hổng bảo mật như một phần của chương trình tiền thưởng lỗi của Metamask, chương trình này sẽ trả số tiền từ 1.000 USD đến 50.000 USD, tùy thuộc vào mức độ nghiêm trọng.
Phantom cũng đã đưa ra một tuyên bố về vấn đề này, xác nhận lỗ hổng bảo mật đã được vá cho người dùng vào tháng 4 năm 2022. Công ty cũng chào mừng Oussama Amri – chuyên gia đứng sau phát hiện của Halborn – đến với nhóm cybersec của Phantom.
Tất cả các bên đều kêu gọi người dùng có liên quan đảm bảo họ đã nâng cấp lên phiên bản mới nhất của ví và liên hệ với các nhóm bảo mật tương ứng nếu có bất kỳ vấn đề bổ sung nào.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork