کشف باگ امنیتی در متامسک؛ مراقب رمزارزهای خود باشید!

• 26 خرداد 1401
• نویسنده : کارشناس دنیای ترید

تیم توسعه‌دهندگان کیف پول محبوب متامسک، در روز چهارشنبه ادعا کردند که با کمک محققان شرکت امنیتی هالبورن (Halborn)، موفق به کشف یک آسیب امنیتی در این برنامه شدند.

چگونگی وقع آسیب‌پذیری ایجاد شده

این آسیب‌پذیری به دلیل یک اختلال عملکردی در زبان برنامه‌نویسی جاوا اسکریپت (JavaScript) است که بعضی اوقات سبب می‌شود عبارت بازیابی کاربران، برای مدتی در حافظه محلی دستگاه ذخیره شود. مشخص نیست چه مدت زمان این عبارت در حافظه دستگاه می‌ماند و احتمالا بسته به هر دستگاه، متفاوت است. حال اگر کاربری، عبارت بازیابی خود را در سیستمی غیرقابل اعتماد وارد کند و در عین حال فردی از این باگ مطلع باشد و ابزار تخصصی آن را در اختیار داشته باشد،  شخص مطلع، به سادگی می‌تواند به عبارت بازیابی دسترسی پیدا کند.

 

عبارت بازیاب چیست؟ عبارت بازیابی یا عبارت یادآور، شامل مجموعه‌ای از ۱۲ کلمه تصادفی است که هنگام ساخت یک کیف پول در دسترس کاربران قرار داده می‌شود. در صورتی که عبارت بازیابی شخصی به دست دیگران بیفتد، امنیت وجوه به خطر خواهد افتاد.

 

 کاربران در مقابل آسیب‌پذیری موجود چه کاری باید انجام دهند؟

طیق اطلاعیه‌هایی که کیف پول‌ متامسک منتشر کرد، کاربران برای اطمینان باید مرورگر خود را آپدیت کنند. این کار باعث حذف آسیب‌پذیری موجود می‌شود اما در صورت وجود ابهام در باره اینکه آیا فردی از قبل با این روش، عبارت امنیتی کاربر را به سرقت برده است؛ لازم است کیف پول جدیدی را بسازند و دارایی‌های خود را به آن منتقل کنند.

چه کسانی در معرض آسیب امنیتی ایجاد شده قرار دارند؟

کاربرانی که از نسخه‌های قدیمی‌تر  ۱۰.۱۱.۳ متامسک استفاده می‌کنند، در صورت داشتن سه شرط زیر در معرض هک شدن قرار دارند:

1. هارد دیسک کاربر رمزگذاری نشده باشد.
2. کاربر عبارت بازیابی خود را در افزونه متامسک در دستگاه دیگری وارد کرده است که در اختیار شخصی است که به آن اعتماد ندارد و یا دستگاه‌هایی با دسترسی غیرمجاز، دزدیده‌شده یا هک‌شده
3. شخص در طول فرآیند بازیابی کیف پول، تیک قسمت «Show Secret Recovery Phrase» را زده‌ باشد.

مطالعه این مقاله پیشنهاد میشود: ارز بلاک توپیا

آیا هشدار متامسک برای همه عمومیت دارد؟

 اگرچه این آسیب‌پذیری خیلی سریع‌ برطرف شد و هیچ مدرکی مبنی بر سو استفاده هکرها از آن وجود ندارد، اما گر افرادی که به آنها اعتماد ندارید به سیستم شما دسترسی دارند، بایستی قابلیت رمزگذاری کامل هارد دیسک (full disk encryption) خود را فعال کنید. گفته شده است این آسیب‌پذیری فقط برای نسخه‌های دسکتاپ قبل از ۱۰.۱۱.۳ که کاربران آن‌ها واجد هر سه شرط مذکور هستند، خطرناک است. متامسک خاطرنشان کرد اگر کاربران وجوه خود را در یک کیف پول سخت‌افزاری قرار دهند، تحت تاثیر این آسیب‌پذیری قرار نخواهید گرفت. آسیب‌پذیری موجود بر نسخه‌های موبایل بی‌تأثیر است.

در صورت آسیب دیدن چه باید کرد؟

 متامسک به کاربران آسیب دیده هشدار می‌دهد وجوه خود را از کیف پول‌های در معرض خطر، به آدرس‌های جدیدی منتقل کنند. با این حال، کاربران باید به خاطر داشته باشند که برای فعال بودن این آسیب‌پذیری در نسخه‌های قدیمی‌تر متامسک، باید هر سه شرط رعایت شده باشد. ظاهرا این آسیب‌پذیری که می‌توانست اطلاعات لاگین کردن کاربران را در اختیار سارقان قرار دهد، در ۱۰ کیف پول دیگر نیز مشاهده شده است. همچنین متامسک در پستی وبلاگی، مراحل انتقال وجوه به یک کیف پول جدید را توضیح داده است.

استیو والبروئل، یکی از بنیانگذاران هالبورن در این رابطه گفت:  مدت زمان زیادی از وجود این باگ امنیتی می‌گذرد و شم یقینا نخواهید فهمید آیا کسی به اطلاعات شما دسترسی داشته است یا خیر. احتمال دارد پیش‌تر روی یک لینک فیشینگ در ایمیلتان کلیک کرده باشید و هکرها به سیستمتان دسترسی پیدا کرده باشند. شاید کسی قبل از اینکه به‌روزرسانی را انجام دهید، اطلاعات لاگین شما را در اختیار داشته باشد. برای احتیاط، لازم است کیف پول خود را عوض کنید. وی در ادامه گفت: توصیه اکید من این است که فقط و فقط یک کیف پول سخت‌افزاری تهیه کنید.