„Dämonische“ Schwachstelle, die Krypto-Geldbörsen betrifft, die von Metamask, Brave, Phantom gepatcht wurden
– Halborn (@HalbornSecurity) 15. Juni 2022
Halborn wandte sich umgehend an die vier Unternehmen, die durch den Exploit gefährdet waren, und begann im Geheimen mit der Arbeit, um das Problem zu beheben, bevor es von Black-Hat-Hackern entdeckt werden konnte.
„Aufgrund der Schwere der Schwachstelle und der Anzahl der betroffenen Benutzer wurden technische Details vertraulich behandelt, bis nach Treu und Glauben versucht werden konnte, betroffene Wallet-Anbieter zu kontaktieren.
Jetzt, da die Wallet-Anbieter die Möglichkeit hatten, das Problem zu beheben und ihre Benutzer auf sichere Wiederherstellungsphrasen umzustellen, stellt Halborn detaillierte Details bereit, um das Bewusstsein für die Schwachstelle zu schärfen und dazu beizutragen, ähnliche in Zukunft zu verhindern.“
Problem gelöst, Bürgerwehr belohnt
Metamask-Entwickler Dan Finlay veröffentlichte einen Blog-Beitrag, in dem er die Benutzer aufforderte, auf die neueste Version der Brieftasche zu aktualisieren, um von dem Patch zu profitieren, der das Problem beseitigt. Finlay bat sie auch, allgemein auf die Sicherheit zu achten und die Geräte jederzeit verschlüsselt zu halten.
Der Blogbeitrag kündigte auch die Auszahlung von 50.000 US-Dollar an Halborn für die Entdeckung der Schwachstelle im Rahmen des Bug-Bounty-Programms von Metamask an, das je nach Schweregrad Summen zwischen 1.000 und 50.000 US-Dollar auszahlt.
Phantom gab auch eine Erklärung zu dieser Angelegenheit ab, in der bestätigt wurde, dass die Schwachstelle für seine Benutzer bis April 2022 gepatcht wurde. Das Unternehmen begrüßte auch Oussama Amri – den Experten hinter Halborns Entdeckung – im Cybersec-Team von Phantom.
1/ Ab April 2022 sind Phantom-Benutzer vor der kritischen Schwachstelle „Demonic“ in Krypto-Browsererweiterungen geschützt.
Ein weiterer umfassender Patch wird nächste Woche veröffentlicht, von dem wir glauben, dass er @Phantom zum sichersten von „Demonic“ in der Branche machen wird. https://t.co/bKE1olpzng
– Phantom (@phantom) 15. Juni 2022
Alle beteiligten Parteien forderten betroffene Benutzer auf, sicherzustellen, dass sie auf die neueste Version der Brieftasche aktualisiert haben, und sich bei zusätzlichen Problemen an die jeweiligen Sicherheitsteams zu wenden.
