安全指南：如何防御MetaMask瀏覽器錢包漏洞？_ETA:MetaMask小狐貍錢包

原文標題：《一文了解如何免受MetaMask瀏覽器錢包安全漏洞的影響》

注：北京時間6月16日凌晨，ConsenSys開發者DanFinlay?披露了MetaMask瀏覽器擴展錢包存在的安全漏洞，這可能導致一小部分用戶的錢包資金面臨被盜風險，對此問題，他給出了一些安全建議。

Halborn的研究人員發現了一種情況，即在極少數情況下可以在磁盤上發現未加密的用戶密鑰，該問題已經在10.11.3版本的MetaMask瀏覽器擴展錢包以及更高版本的錢包中得到了修復。

背景

Halborn的安全研究人員披露了一個實例，在某種情況下，可以從被攻擊的計算機磁盤中提取MetaMask等Web錢包使用的助記詞短語。

浙江：藥品安全監管應用“黑匣子”將引入區塊鏈技術:8月27日消息，浙江省藥監局于今年四月上線的藥品安全智慧監管“黑匣子”應用已覆蓋達270余家藥品生產、經營企業，藥監局有關負責人表示，“黑匣子”監管應用將引入區塊鏈技術，實現分布式記賬，并計劃與該局的“藥品安全風險精密智控系統”對接，推動“黑匣子”向“灰匣子”“白匣子”迭代升級。（浙江日報）[2021/8/27 22:40:50]

以下內容不會影響MetaMask移動端錢包用戶，而只會影響一小部分MetaMask瀏覽器擴展用戶以及其他瀏覽器/擴展錢包用戶。我們已經針對這些問題實施了緩解措施，因此對于10.11.3版本以及更高版本的MetaMask瀏覽器擴展錢包用戶來說，這些不應該是問題。注意，如果以下三個條件都適用于你，那你的錢包可能會面臨風險，你應該閱讀以下內容了解后續步驟：

原保監會副主席周延禮：區塊鏈發展面臨數據安全與隱私保護挑戰:5月12日由中國信息通信研究院、人民政協報社聯合主辦的新基建、新布局、新動能——產業區鏈接的機遇與挑戰主題“云”座談上，全國政協委員、原中國保監會副主席周延禮認為，區塊鏈發展面臨數據安全與隱私保護挑戰，應加強金融信息的保護，健全數據保障制度。

一是應加快數據保護的統一立法，我國還沒有統一的個人信息保護的立法，對于數據保護的規定散落在各個文件中，要盡快的出臺有利于區塊鏈技術的應用。

二是應推進建立金融科技行業自律組織。要借鑒歐盟和一些國際經驗，中國應該從自身國情出發，構建符合自身的發展數據管理制度，在制度的設計上，要通過法律設計保護消費者的個人隱私。另一方面我需要有前瞻性的考慮，對數據保護和數據價值的挖掘之間的平衡要有一個衡量。

三是傳統金融機構應構建完備的數據治理體系。近年來，保險等金融機構在經營活動當中積累了海量的客戶數據、交易數據等，銀證保傳統金融機構挖掘數據的過程中首要問題就是加強數據治理、數據監管的問題。

四是新興金融科技企業應審慎處理數據。（中證網）[2020/5/13]

你的硬盤未加密；你已經將助記詞短語導入到設備上的MetaMask瀏覽器擴展錢包中，而該設備由你不信任的人擁有，或者你的計算機已經被黑。在導入過程中，你使用了「顯示助記詞短語」復選框在屏幕上查看你的助記詞。

精選 | 英國部長：對于區塊鏈，監管機構已經納入新的安全機制:據Ambcrypto報道，英國數字、文化、媒體和體育部(DCMS)部長瑪戈特·詹姆斯(Margot James)在最近于倫敦舉行的“Blockchain Live 2018”活動上擔任主要發言人。在活動中，她討論了政府對區塊鏈技術的立場以及該技術的廣泛使用案例。瑪戈特·詹姆斯表示，英國政府完全致力于鼓勵本國開發和采用新技術。此外，詹姆斯還引用了英國金融行為監管局(FCA)關注區塊鏈技術的例子。她表示，監管機構已經納入了一種安全機制，在這種機制中，他們著手在實際市場中測試產品和服務，并建立相應的“保障措施”。瑪戈特·詹姆斯還強調要了解區塊鏈技術的重要性，表示要將眼光放在金融部門之外的應用區塊鏈技術。[2018/10/4]

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”，慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊，但以太坊上智能合約不受影響，因為以太坊網絡Gas值尚在正常范圍內。目前，Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證，用戶需等待5秒才能訪問網站。據悉，5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

影響

這會影響：

1、我們測試過的所有桌面操作系統以及瀏覽器；

2、我們使用GoogleChrome、Chromium和Firefox瀏覽器在Windows、macOS和Linux上進行了測試；

3、所有瀏覽器版本上的所有版本MetaMask擴展錢包。

但這個漏洞不會影響MetaMask移動端錢包。

助記詞短語最終會被清除，但我們目前無法保證何時清除。

該漏洞最有可能影響那些在將助記詞導入MetaMask后不久，設備就遭到入侵或被盜的用戶。

如果你符合上述的所有條件，那那些有權訪問你計算機的人，就可能會拿到你的助記詞短語，因此你可能需要考慮從這些賬戶中將資金轉移出去以確保安全。我們準備了一份遷移賬戶資金的指南，使用任何第三方遷移工具都需要自行承擔風險。

注意，可以物理訪問你的計算機的人或惡意軟件可能會利用此漏洞進行攻擊，而如果你的設備受到惡意軟件的攻擊，那有些攻擊是無法進行防御的。

如果你認為自己容易受到該攻擊的影響

如果你的計算機有可能受到你不信任的人的影響，我們建議你在系統上啟用「全磁盤加密」。此外，如果你的資金是由一個硬件錢包管理，那你不會受到該漏洞的影響。

受影響的用戶應考慮將資金從舊錢包賬戶轉移到新的錢包賬戶地址。

本文檔的其余部分將提供一些額外的詳細信息，以及有關如何最好地保護你的錢包安全的建議。稍后，我們將披露有關問題性質的更多細節，以便其他軟件開發人員可以自己避免這些問題，但目前我們會先提醒用戶，以最大程度地降低盜竊風險。

我有多安全？

如上文所述，如果你的計算機受到了威脅，你都無法確定在該計算機上運行的任何程序的安全性。

這是流行的密碼管理器1Password團隊已經承認并討論過的問題，1Password的首席安全架構師JeffreyGoldberg解釋過要解決該問題的困難之處，他說：

「這是一個眾所周知的問題，之前該問題已經被公開討論過很多次，但任何看似合理的解決方案都可能比問題本身更糟糕。」

如果你使用的是密碼管理器，那么你可能會比不使用密碼管理器的人更安全一些，但即使是用了密碼管理器，也無法避免漏洞問題。

結論

最終我們了解到，我們的密碼加密功能的安全性，部分會受到瀏覽器行為的破壞。由于瀏覽器本身認為物理訪問攻擊超出了其威脅模型，而我們當前的錢包是建立在瀏覽器之上的，因此事實證明，減少這種攻擊面的規模需要耗費大量人力，而且可能無法完全消除這種攻擊。最終，很可能只有「全磁盤加密」才能為你的計算機提供強大的物理計算機訪問安全性。

一般來說，計算機/瀏覽器等應該在某種程度上暫時或永久地存儲文本輸入。然而，由于保護你的助記詞短語的安全性有多么重要，因此需要注意此特定場景，以便用戶可以采取相應的行動。

幸運的是，密碼似乎仍然提供了一定程度的安全性。我們發現，只有在非常特定的情況下才能提取助記詞短語，并且我們已經能夠在Halborn等待披露的時間段內引入新的保護措施，并且我們計劃實施更多的保護措施，以進一步降低這種風險。這意味著如果你不使用自己的錢包，鎖定錢包仍然是一個好習慣。

一些重要的事：

1、請花點時間在你的計算機上啟用全盤加密。這是確保你的計算機不會被具有物理訪問權限的人提取其所有內容的唯一方法。我們還建議用戶使用硬件錢包作為額外的安全措施。

2、清除你的瀏覽器緩存數據

3、請記住，確保計算機安全是你的責任，如果運行它的系統受到威脅，任何錢包或軟件都無法保證自身的安全，花點時間學習如何讓計算機避免惡意軟件。

Tags：ETATAMAAMAmetamaskMETAVICEmetamask錢包被騙怎么辦AMAZINGTEAMMetaMask小狐貍錢包

AAVE