ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຈາກ Halborn ໄດ້ພົບເຫັນຕົວຢ່າງທີ່ປະໂຫຍກເມັດຂອງຜູ້ໃຊ້ຂອງການຂະຫຍາຍ wallet ເວັບໄຊທ໌ເຊັ່ນ Metamask ໄດ້ຖືກປະໄວ້ໂດຍບໍ່ມີການເຂົ້າລະຫັດ. ຢ່າງໃດກໍຕາມ, ຕົວຢ່າງພຽງແຕ່ເຮັດໃຫ້ຜູ້ທີ່ໃຊ້ Metamask ລຸ້ນຂະຫຍາຍຂ້າງລຸ່ມນີ້ 10.11.3.
ບາງສ່ວນຂະຫຍາຍ Wallet ເຮັດໃຫ້ເກີດຄວາມສ່ຽງຕໍ່ລະຫັດ Crypto ຂອງຜູ້ໃຊ້
ນັກຄົ້ນຄວ້າຄວາມປອດໄພ Halborn Blockchain ໄດ້ພົບເຫັນວິທີການທີ່ແຮກເກີສາມາດສະກັດເອົາຄໍາສັບຕ່າງໆອອກຈາກແຜ່ນຂອງຄອມພິວເຕີທີ່ຖືກແຮັກ. ການລະເມີດກ່ຽວຂ້ອງກັບການຂະຫຍາຍ wallet ເວັບໄຊຕ໌, ເຊັ່ນ Metamask; ພວກເຂົາເຈົ້າເວົ້າວ່າຜູ້ທີ່ມີຮຸ່ນ 10.11.3 ຂຶ້ນໄປແມ່ນບໍ່ມີຄວາມສ່ຽງ. ຍິ່ງໄປກວ່ານັ້ນ, ຜູ້ຊ່ຽວຊານຊີ້ໃຫ້ເຫັນວ່າສະຖານະການການລະເມີດບໍ່ມີຜົນກະທົບຕໍ່ Metamask Mobile wallets.
ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຍອມຮັບວ່ານອກຈາກ Metamask, ກະເປົາເງິນໃນເວັບອື່ນໆກໍ່ສາມາດປະເຊີນກັບຄວາມສ່ຽງ. ຢ່າງໃດກໍຕາມ, ພວກເຂົາເຈົ້າໄດ້ໃຫ້ສາມສະຖານະການທີ່ສາມາດເຮັດໃຫ້ລະຫັດ crypto ຂອງຜູ້ໃຊ້ມີຄວາມສ່ຽງ.
ທໍາອິດແມ່ນຖ້າທ່ານມີຮາດດິດທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ. ອັນທີສອງແມ່ນຖ້າທ່ານນໍາເຂົ້າປະໂຫຍກການຟື້ນຕົວໄປຫາສ່ວນຂະຫຍາຍເວັບ Metamask ໂດຍໃຊ້ອຸປະກອນທີ່ບໍ່ໄດ້ຢູ່ໃນການຄອບຄອງຂອງທ່ານ. ສຸດທ້າຍ, ຖ້າທ່ານກວດເບິ່ງກ່ອງກາເຄື່ອງຫມາຍ 'ສະແດງການຟື້ນຕົວຄວາມລັບ' ເພື່ອເບິ່ງກະແຈຂອງທ່ານໃນຂະນະທີ່ທ່ານກໍາລັງນໍາເຂົ້າພວກມັນ.
ພາກສ່ວນທີ່ໄດ້ຮັບຜົນກະທົບ
ອີງຕາມ Halborn, desktop OS ແລະ browser ທັງໝົດ, Metamask extension versions before 10.11.3 on every browser, Windows, Linux, macOS, Firefox, and Chrome ແມ່ນບໍ່ປອດໄພ. ຊ່ອງໂຫວ່ມີຄວາມສ່ຽງສູງຕໍ່ກັບຜູ້ທີ່ອຸປະກອນຖືກແຮັກຍ້ອນວ່າເຂົາເຈົ້າກໍາລັງນໍາເຂົ້າຄໍາປະໂຫຍກຂອງເຂົາເຈົ້າເຂົ້າໃນການຂະຫຍາຍ web wallet.
ຜູ້ພັດທະນາເວັບທີ່ເຮັດວຽກສໍາລັບ Metamask ໄດ້ສະຫນອງວິທີການຫຼຸດຜ່ອນບັນຫາ, ໂດຍໃຫ້ຄໍາຖະແຫຼງຕໍ່ໄປນີ້:
"ຖ້າຄອມພິວເຕີຂອງທ່ານບໍ່ປອດໄພທາງຮ່າງກາຍຈາກຄົນທີ່ທ່ານບໍ່ໄວ້ວາງໃຈ, ພວກເຮົາແນະນໍາໃຫ້ທ່ານເປີດໃຊ້ການເຂົ້າລະຫັດແຜ່ນເຕັມຢູ່ໃນລະບົບຂອງທ່ານ. ນອກຈາກນັ້ນ, ທ່ານບໍ່ໄດ້ຮັບຜົນກະທົບຈາກສິ່ງນີ້ຖ້າເງິນຂອງທ່ານຖືກຄຸ້ມຄອງໂດຍກະເປົາເງິນຮາດແວ."
ການເລີ່ມຕົ້ນຜູ້ຈັດການລະຫັດຜ່ານ, 1Password, ສ່ອງແສງກ່ຽວກັບບົດລາຍງານໂດຍກ່າວວ່າ,
"ນີ້ແມ່ນບັນຫາທີ່ຮູ້ຈັກກັນດີທີ່ໄດ້ສົນທະນາສາທາລະນະຫຼາຍຄັ້ງກ່ອນ, ແຕ່ວ່າການປິ່ນປົວທີ່ເປັນໄປໄດ້ອາດຈະຮ້າຍແຮງກວ່າພະຍາດ."
ທີມງານຢູ່ Metamask ເຊື່ອວ່າການໃຊ້ຕົວຈັດການລະຫັດຜ່ານສາມາດຊ່ວຍປົກປ້ອງທ່ານຈາກການລະເມີດດັ່ງກ່າວ, ເຖິງແມ່ນວ່າຜູ້ຈັດການຈະບໍ່ປອດໄພ 100%.
AMD ແລະ Intel CPUs ຍັງມີຄວາມສ່ຽງ
ດັ່ງທີ່ລາຍງານໃນມື້ວານນີ້ໂດຍ crypto.news, ແຮກເກີສາມາດເອົາຊ່ອງໂຫວ່ຂອງ CPU ຂອງ AMD ແລະ Intel ເພື່ອລັກເອົາປະໂຫຍກແກ່ນຂອງຜູ້ໃຊ້. ຜ່ານຊ່ອງທາງຂ້າງຄຽງທີ່ເອີ້ນວ່າ Hertzbleed, ແຮກເກີສາມາດເຮັດໃຫ້ກະແຈສ່ວນຕົວໂດຍເບິ່ງລາຍເຊັນພະລັງງານຍ້ອນວ່າຂະບວນການເຂົ້າລະຫັດເກີດຂື້ນ. Intel ໄດ້ອະທິບາຍເຖິງຂອບເຂດຂອງຊ່ອງໂຫວ່, ໂດຍກ່າວວ່າການໂຈມຕີສາມາດເກີດຂຶ້ນໃນເຊີບເວີຈາກໄລຍະໄກ.
Intel ເປີດເຜີຍວ່າທຸກຮູບແບບທີ່ທັນສະໄຫມຂອງມັນແມ່ນມີຄວາມສ່ຽງ, ໃນຂະນະທີ່ AMD ກ່າວວ່າ Alton, Ryzen, ແລະ EPYC ຮຸ່ນແມ່ນມີຄວາມອ່ອນໄຫວ. ການເລີ່ມຕົ້ນໄດ້ສະຫນອງວິທີການປົກປ້ອງຜູ້ໃຊ້ຈາກການລະເມີດ, ເຊິ່ງກ່ຽວຂ້ອງກັບການປິດການຂະຫຍາຍຄວາມຖີ່ຂອງຄອມພິວເຕີ. ຢ່າງໃດກໍຕາມ, ການກະທໍາ, ດັ່ງທີ່ບໍລິສັດໄດ້ອະທິບາຍ, ສາມາດເຮັດໃຫ້ເກີດຄວາມເສຍຫາຍຢ່າງຫຼວງຫຼາຍຕໍ່ທຸກໆການປະຕິບັດຂອງ CPU. AMD ໄດ້ໃຫ້ຄວາມເຂົ້າໃຈຕື່ມກ່ຽວກັບເລື່ອງນີ້, ໂດຍກ່າວວ່າ,
"ຍ້ອນວ່າຄວາມອ່ອນແອຜົນກະທົບຕໍ່ລະບົບການເຂົ້າລະຫັດລັບທີ່ມີການຮົ່ວໄຫຼຂອງຊ່ອງທາງຂ້າງຄຽງຂອງການວິເຄາະພະລັງງານ, ຜູ້ພັດທະນາສາມາດນໍາໃຊ້ມາດຕະການຕ້ານກັບລະຫັດຊອບແວຂອງ algorithm. ອາດຈະຖືກນຳໃຊ້ການປິດບັງ, ການປິດບັງ ຫຼືການຫມຸນກະແຈເພື່ອຫຼຸດຜ່ອນການໂຈມຕີ.”
ທີ່ມາ: https://crypto.news/metamask-bug-hackers-seed-phrases-web-extensions-versions-10-11-3/