Condividi questo articolo
MetaMask, Phantom e altri portafogli del browser correggono la vulnerabilità di sicurezza
Non ci sono prove che la vulnerabilità sia mai stata sfruttata dagli aggressori, il che significa che non si ritiene che i fondi degli utenti siano stati interessati.
Di Sam Kessler
MetaMask e Phantom, due dei maggiori fornitori di portafogli Cripto , hanno annunciato mercoledì in un post sul blog di aver recentemente corretto una vulnerabilità di sicurezza che avrebbe potuto esporre credenziali di accesso sensibili agli utenti con dispositivi compromessi.
I fornitori di wallet affermano che non ci sono prove che la vulnerabilità sia mai stata sfruttata dagli aggressori, il che significa che non risulta che i fondi degli utenti siano stati interessati.
La storia continua sotto
MetaMask e Phantom – che hanno scoperto il bug basandosi su una segnalazione di un’azienda di sicurezza blockchainAlbornoziano – ha informato almeno altri 10 HOT wallet basati su browser che contenevano la stessa vulnerabilità. L'elenco completo dei wallet interessati (e patchati) non è chiaro al momento.
Sebbene la vulnerabilità abbia un vettore di attacco limitato e non ci siano prove che sia mai stata sfruttata dagli hacker, evidenzia il rischio intrinseco per la sicurezza dei portafogli HOT connessi a Internet rispetto ai portafogli hardware più sicuri, anche se meno convenienti.
Dovresti preoccuparti?
MetaMask e Phantom sconsigliano alla maggior parte degli utenti di adottare altre misure se non quella di aggiornare i propri browser per garantire che i portafogli utilizzati utilizzino le versioni software più aggiornate.
Secondo il post del blog diMetaMascheradovresti preoccuparti solo se soddisfi tutte le seguenti condizioni:
- Il tuo disco rigido non è stato crittografato
- Hai importato la tua frase di recupero Secret in un'estensione MetaMask su un dispositivo in possesso di qualcuno di cui non ti fidi o il tuo computer è compromesso
- Hai utilizzato la casella di controllo "Mostra frase di recupero Secret " per visualizzare la tua frase di recupero Secret sullo schermo durante il processo di importazione
"Se il tuo computer non è fisicamente al sicuro da persone di cui non ti fidi, ti consigliamo di abilitare la crittografia completa del disco sul tuo sistema", secondo il post del blog MetaMask. "Inoltre, non sei interessato da questo se i tuoi fondi sono gestiti da un portafoglio hardware".
Il post sul blog di Phantom riecheggiava ampiamente quello di MetaMask.
Nel suo post sul blog, MetaMask delinea i passaggi che gli utenti dovrebbero seguire per passare a un nuovo portafoglio se ritengono che le loro credenziali potrebbero essere state compromesse.
Halborn, che ha ricevuto una ricompensa di 50.000 dollari per aver segnalato il bug, ha raccomandato alla maggior parte degli utenti di passare a un nuovo indirizzo di portafoglio per eccesso di cautela.
Steve Walbroehl, co-fondatore di Halborn, ha detto a CoinDesk, "Solo dato il fatto che questa è una cosa che esiste da così tanto tempo, T sai chi potrebbe essere stato [sfruttato]. Forse hai cliccato su un'e-mail di phishing dannosa e loro hanno accesso al tuo computer. Forse qualcuno l'ha presa prima anche se ora hai effettuato l'aggiornamento. Penso solo che per eccesso di cautela, data la criticità, sia meglio cambiarlo e basta".
Ha continuato: "La mia raccomandazione numero ONE è quella di procurarsi un portafoglio hardware".
Come è successo
La vulnerabilità è dovuta a una particolarità del linguaggio di programmazione JavaScript che talvolta fa sì che la frase di recupero Secret di un utente venga archiviata nella memoria locale dell'utente per un certo periodo di tempo (non si sa per quanto tempo esatto, probabilmente varia a seconda del dispositivo).
Se un utente avesse inserito questa frase su un dispositivo compromesso o comunque non affidabile, un aggressore avrebbe avuto la possibilità di cancellarla dalla memoria se avesse saputo esattamente dove cercare (o, cosa più probabile, avesse avuto a disposizione uno strumento specializzato per tale compito).
Una frase di recupero Secret , detta anche frase seme o frase mnemonica, è una serie di 12 parole che gli utenti ricevono quando configurano un portafoglio intelligente e funge da chiave maestra nel caso in cui gli utenti dovessero mai aver bisogno di recuperare il proprio portafoglio o di configurarlo su un nuovo dispositivo.
Se la frase di recupero Secret di una persona finisce nelle mani di un malintenzionato, potrebbe essere utilizzata per impossessarsi del pieno controllo dei fondi della persona in questione.
MetaMask è stata informata del bug a luglio 2021 e ha rilasciato una patch a marzo di quest'anno. Phantom è venuta a conoscenza del bug a settembre 2021 e ha rilasciato diverse patch per risolvere il problema tra gennaio e aprile 2022.
Lebih untuk Anda
Yang perlu diketahui:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Lebih untuk Anda
Solana’s Drift Lancia la Versione 3, con Operazioni 10 Volte Più Veloci
Con la versione 3, il team afferma che circa l'85% degli ordini di mercato verrà eseguito in meno di mezzo secondo, e la liquidità si approfondirà a sufficienza da ridurre lo slippage sulle operazioni di maggiore entità a circa lo 0,02%.
Yang perlu diketahui:
- Drift, una delle più grandi piattaforme di trading perpetual su Solana, ha lanciato Drift v3, un importante aggiornamento pensato per rendere il trading on-chain veloce e fluido come l’utilizzo di un exchange centralizzato.
- La nuova versione offrirà un'esecuzione delle operazioni 10 volte più veloce grazie a un backend ricostruito, segnando il più grande salto di performance che il progetto abbia mai realizzato finora.
