ဇွန်လ 15 ရက်နေ့တွင်၊ crypto ပိုက်ဆံအိတ်များ ပံ့ပိုးပေးသည့် ကုမ္ပဏီအများအပြား – နှင့် အမြတ်ထုတ်မှုများကို ရှာဖွေရန် တာဝန်ရှိသော ဆိုက်ဘာဆက်ကုမ္ပဏီတို့သည် ဘရောက်ဆာ extension-based ပိုက်ဆံအိတ်များကို ထိခိုက်စေသည့် လုံခြုံရေးပြဿနာတစ်ခုရှိကြောင်းနှင့် နောက်ဆက်တွဲ ဖာထေးမှုများကို ကြေညာခဲ့သည်။
“Demonic” ဟုအမည်တပ်ထားသော အားနည်းချက်ကို ပြီးခဲ့သောနှစ်တွင် ထိခိုက်ခဲ့သော ကုမ္ပဏီများသို့ ချဉ်းကပ်ခဲ့သော Halborn မှ လုံခြုံရေးသုတေသီများက ရှာဖွေတွေ့ရှိခဲ့သည်။ ယခုအခါ ၎င်းတို့သည် နောက်ဆုံးအသုံးပြုသူများ၏ ပျက်စီးဆုံးရှုံးမှုကို ကန့်သတ်ရန်အတွက် သက်ရောက်မှုရှိသော ပါတီများအား ပြဿနာကို ကြိုတင်ပြင်ဆင်နိုင်စေခြင်းဖြင့် ၎င်းတို့၏ တွေ့ရှိချက်များကို လူသိရှင်ကြား ထုတ်ပြန်လိုက်ပါသည်။
Metamask၊ xDEFI၊ Brave နှင့် Phantom ထိခိုက်မှု
Demonic exploit - တရားဝင်အမည် CVE-2022-32969 - မူလက ရှာဖွေတွေ့ရှိ 2021 ခုနှစ် မေလတွင် Halborn မှ ပြန်လည်ရယူခဲ့သည်။ ၎င်းသည် BIP39 mnemonics အသုံးပြုထားသော ပိုက်ဆံအိတ်များကို ဆိုးရွားသောသရုပ်ဆောင်များမှ အဝေးမှကြားဖြတ်ခြင်း သို့မဟုတ် အန္တရာယ်ရှိသော စက်များကို အသုံးပြုခြင်းဖြင့် ပြန်လည်ရယူခြင်းဆိုင်ရာ စကားစုများကို အကျိုးသက်ရောက်စေပြီး နောက်ဆုံးတွင် ပိုက်ဆံအိတ်ကို ရန်လိုသောသိမ်းပိုက်မှုဆီသို့ ဦးတည်သွားစေပါသည်။
သို့သော်လည်း အမြတ်ထုတ်မှုသည် ဖြစ်ပျက်ရန် အလွန်တိကျသော အဖြစ်အပျက်များ လိုအပ်ပါသည်။
စတင်ရန်၊ ဤပြဿနာသည် မိုဘိုင်းစက်ပစ္စည်းများကို မထိခိုက်စေပါ။ ကုဒ်မထားသော ဒက်စတော့ကိရိယာများကို အသုံးပြုသည့် ပိုက်ဆံအိတ်ပိုင်ရှင်များသာ အားနည်းချက်ရှိသည် – ၎င်းတို့သည် လျှို့ဝှက်ပြန်လည်ရယူရေးစကားစုကို အပေးအယူခံရသော စက်တစ်ခုမှ တင်သွင်းရမည်ဖြစ်သည်။ နောက်ဆုံးအနေဖြင့်၊ "Show Secret Recovery Phrase" option ကိုအသုံးပြုရမည်ဖြစ်ပါသည်။
⚠ Halborn သည် Major Security Bounty ထံမှ ရရှိသည်။ @MetaMask အရေးကြီးသောရှာဖွေတွေ့ရှိမှုအတွက် ⚠
ထိခိုက်စေသည့် အရေးကြီးသော အားနည်းချက်ကို ကျွန်ုပ်တို့ ထုတ်ဖော်ခဲ့သည်။ @MetaMask, @ရဲရင့်သည်, @Phantom, @xdefi_walletနှင့် အခြားဘရောက်ဆာအခြေခံ crypto ပိုက်ဆံအိတ်များ – တိုတို ? အားနည်းချက်ကို ဘယ်လိုကာကွယ်မလဲ။ သင်ကိုယ်တိုင်- Halborn (@HalbornSecurity) ဇြန္လ 15, 2022
ချက်ခြင်း Hlborn ထွက်ရောက်ရှိခဲ့သည် အမြတ်ထုတ်ခြင်းမှ အန္တရာယ်ရှိကြောင်း တွေ့ရှိသည့် ကုမ္ပဏီလေးခုအား ဟက်ကာများက မတွေ့ရှိမီ ပြဿနာကို ဖြေရှင်းရန် လျှို့ဝှက်စွာ လုပ်ဆောင်ခဲ့သည်။
“အားနည်းချက်၏ ပြင်းထန်မှုနှင့် သက်ရောက်မှုရှိသော အသုံးပြုသူအရေအတွက်ကြောင့် ထိခိုက်ထားသော ပိုက်ဆံအိတ်ဝန်ဆောင်မှုပေးသူများကို ဆက်သွယ်ရန် ယုံကြည်ချက်ရှိရှိ ကြိုးစားအားထုတ်မှု မပြုလုပ်မချင်း နည်းပညာဆိုင်ရာ အသေးစိတ်အချက်အလက်များကို လျှို့ဝှက်ထားခဲ့သည်။
ယခုအခါ ပိုက်ဆံအိတ်ဝန်ဆောင်မှုပေးသူများသည် အဆိုပါပြဿနာကို ပြန်လည်ဖြေရှင်းရန်နှင့် ပြန်လည်ရယူသည့်စကားစုများကို လုံခြုံစေရန်အတွက် ၎င်းတို့၏အသုံးပြုသူများကို ရွှေ့ပြောင်းရန်အတွက် အခွင့်အလမ်းရနေပြီဖြစ်သောကြောင့် Halborn သည် အားနည်းချက်ကိုသိရှိနားလည်လာစေရန်နှင့် အနာဂတ်တွင် အလားတူအရာများကို ကာကွယ်ရန် နက်ရှိုင်းသောအသေးစိတ်အချက်အလက်များကို ပေးဆောင်လျက်ရှိသည်။"
ပြဿနာကို ဖြေရှင်းပြီး၊ Vigilantes ဆုချီးမြှင့်သည်။
Metamask dev Dan Finlay ပုံနှိပ်ထုတ်ဝေ ပြဿနာကိုပျက်ပြယ်စေသော patch မှအကျိုးအမြတ်ရရှိရန်အတွက်အသုံးပြုသူများအားပိုက်ဆံအိတ်၏နောက်ဆုံးဗားရှင်းသို့မွမ်းမံရန်တိုက်တွန်းထားသောဘလော့ဂ်ပို့စ်တစ်ခု။ Finlay မှ စက်ပစ္စည်းများကို အချိန်တိုင်း ကုဒ်ဝှက်ထားခြင်းဖြင့် ယေဘုယျအားဖြင့် လုံခြုံရေးကို အာရုံစိုက်ရန်လည်း တောင်းဆိုခဲ့သည်။
ဘလော့ဂ်ပို့စ်သည် Metamask ၏ bug bounty ပရိုဂရမ်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အားနည်းချက်ကိုရှာဖွေတွေ့ရှိမှုအတွက် Halborn သို့ $50k ပေးချေကြောင်းကြေငြာခဲ့ပြီး၊ ပြင်းထန်မှုပေါ်မူတည်၍ $1k နှင့် $50k အကြား sums များထုတ်ပေးပါသည်။
Phantom ကလည်း အဆိုပါကိစ္စနှင့် ပတ်သက်၍ ကြေညာချက်ထုတ်ပြန်ခဲ့သည်။ အတည်ပြု အားနည်းချက်ကို 2022 ခုနှစ် ဧပြီလတွင် ၎င်း၏အသုံးပြုသူများအတွက် ဖာထေးပြင်ဆင်ခဲ့ပါသည်။ ကုမ္ပဏီသည် Halborn ၏ရှာဖွေတွေ့ရှိမှုနောက်ကွယ်မှကျွမ်းကျင်သူ Oussama Amri ကို Phantom ၏ဆိုက်ဘာဆက်အဖွဲ့သို့ ကြိုဆိုခဲ့သည်။
1/ ဧပြီလ 2022 ခုနှစ်အထိ၊ Phantom အသုံးပြုသူများကို crypto browser တိုးချဲ့မှုများတွင် "Demonic" အရေးပါသောအားနည်းချက်မှကာကွယ်ထားသည်။
နောက်ထပ် ပြီးပြည့်စုံသော patch သည် ကျွန်ုပ်တို့ ပြုလုပ်နိုင်မည်ဟု ယုံကြည်သည့် နောက်အပတ်တွင် ထွက်ရှိလာမည်ဖြစ်သည်။ @Phantom စက်မှုလုပ်ငန်းတွင် "Demonic" မှအလုံခြုံဆုံး။ https://t.co/bKE1olpzng
Phantom (@phantom) ဇြန္လ 15, 2022
သက်ဆိုင်သူအားလုံးသည် ပိုက်ဆံအိတ်၏နောက်ဆုံးထွက်ဗားရှင်းသို့ အဆင့်မြှင့်ထားရန်နှင့် နောက်ထပ်ပြဿနာများအတွက် သက်ဆိုင်ရာလုံခြုံရေးအဖွဲ့များသို့ ဆက်သွယ်ရန် သက်ဆိုင်သူအားလုံးမှ တိုက်တွန်းထားသည်။
Binance အခမဲ့ $100 (သီးသန့်)- ဒီ link ကိုသုံးပါ မှတ်ပုံတင်ပြီး $100 အခမဲ့နှင့် Binance Futures ပထမလတွင် အခကြေးငွေ 10% လျှော့စျေးရယူရန် (ဝေါဟာရများ).
PrimeXBT အထူးကမ်းလှမ်းမှု - ဒီ link ကိုသုံးပါ သင်၏အပ်ငွေများတွင် $50 အထိရရှိရန် POTATO7,000 ကုဒ်ကို စာရင်းသွင်းပြီး ထည့်သွင်းပါ။
အရင်းအမြစ်- https://cryptopotato.com/demonic-vulnerability-affecting-crypto-wallets-patched-by-metamask-brave-phantom/