Am 15. Juni gaben mehrere Unternehmen, die Krypto-Wallets anbieten – sowie die Cybersec-Firma, die für die Suche nach Exploits verantwortlich ist – die Existenz und anschließende Behebung eines Sicherheitsproblems bekannt, das Wallets auf Basis von Browsererweiterungen betrifft.
Die Schwachstelle mit dem Codenamen „Demonic“ wurde von Sicherheitsforschern bei Halborn entdeckt, die sich im vergangenen Jahr an betroffene Unternehmen wandten. Sie sind nun mit ihren Ergebnissen an die Öffentlichkeit gegangen, nachdem sie den betroffenen Parteien erlaubt hatten, das Problem im Voraus zu beheben, um den Schaden für die Endbenutzer zu begrenzen.
Metamask, xDEFI, Brave und Phantom betroffen
Der Demonic-Exploit – offiziell CVE-2022-32969 genannt – wurde ursprünglich von Halborn im Mai 2021 entdeckt. Er betraf Wallets mit BIP39-Mnemonik, wodurch Wiederherstellungsphrasen von schlechten Akteuren aus der Ferne oder mit kompromittierten Geräten abgefangen werden konnten, was letztendlich zu einer feindlichen Übernahme führte des Geldbeutels.
Der Exploit benötigte jedoch eine ganz bestimmte Abfolge von Ereignissen, um stattzufinden.
Zunächst einmal betraf dieses Problem keine mobilen Geräte. Nur Wallet-Besitzer, die unverschlüsselte Desktop-Geräte verwenden, waren anfällig – und sie hätten die geheime Wiederherstellungsphrase von einem kompromittierten Gerät importieren müssen. Zuletzt hätte die Option „Show Secret Recovery Phrase“ verwendet werden müssen.
⚠Haborn erhält große Sicherheitsprämie von @MetaMask für Critical Discovery⚠
Wir haben eine kritische Schwachstelle offengelegt, die @MetaMask, @Brave, @Phantom, @xdefi_wallet und andere browserbasierte Krypto-Geldbörsen betrifft – Ein kurzer 🧵 über die Schwachstelle und wie man sich schützt 🔐:
– Halborn (@HalbornSecurity) 15. Juni 2022
Halborn wandte sich umgehend an die vier Unternehmen, die durch den Exploit gefährdet waren, und begann im Geheimen mit der Arbeit, um das Problem zu beheben, bevor es von Black-Hat-Hackern entdeckt werden konnte.
„Aufgrund der Schwere der Schwachstelle und der Anzahl der betroffenen Benutzer wurden technische Details vertraulich behandelt, bis nach Treu und Glauben versucht werden konnte, betroffene Wallet-Anbieter zu kontaktieren.
Jetzt, da die Wallet-Anbieter die Möglichkeit hatten, das Problem zu beheben und ihre Benutzer auf sichere Wiederherstellungsphrasen umzustellen, stellt Halborn detaillierte Details bereit, um das Bewusstsein für die Schwachstelle zu schärfen und dazu beizutragen, ähnliche in Zukunft zu verhindern.“
Problem gelöst, Bürgerwehr belohnt
Metamask-Entwickler Dan Finlay veröffentlichte einen Blog-Beitrag, in dem er die Benutzer aufforderte, auf die neueste Version der Brieftasche zu aktualisieren, um von dem Patch zu profitieren, der das Problem beseitigt. Finlay bat sie auch, allgemein auf die Sicherheit zu achten und die Geräte jederzeit verschlüsselt zu halten.
Der Blogbeitrag kündigte auch die Auszahlung von 50.000 US-Dollar an Halborn für die Entdeckung der Schwachstelle im Rahmen des Bug-Bounty-Programms von Metamask an, das je nach Schweregrad Summen zwischen 1.000 und 50.000 US-Dollar auszahlt.
Phantom gab auch eine Erklärung zu dieser Angelegenheit ab, in der bestätigt wurde, dass die Schwachstelle für seine Benutzer bis April 2022 gepatcht wurde. Das Unternehmen begrüßte auch Oussama Amri – den Experten hinter Halborns Entdeckung – im Cybersec-Team von Phantom.
1/ Ab April 2022 sind Phantom-Benutzer vor der kritischen Schwachstelle „Demonic“ in Krypto-Browsererweiterungen geschützt.
Ein weiterer umfassender Patch wird nächste Woche veröffentlicht, von dem wir glauben, dass er @Phantom zum sichersten von „Demonic“ in der Branche machen wird. https://t.co/bKE1olpzng
– Phantom (@phantom) 15. Juni 2022
Alle beteiligten Parteien forderten betroffene Benutzer auf, sicherzustellen, dass sie auf die neueste Version der Brieftasche aktualisiert haben, und sich bei zusätzlichen Problemen an die jeweiligen Sicherheitsteams zu wenden.
