MetaMask | 报告 #2280279 - 提取助记词时密码保护完全失效！增加了诈骗者的攻击面 | HackerOne

跳过主内容 > 黑客活动机会目录排行榜了解更多关于HackerOne登录58#2280279复制报告ID复制报告ID提取助记词时密码保护完全失效！增加了诈骗者的攻击面分享：

MetaMask摘要 菜单菜单@bug_vs_me发现MetaMask浏览器扩展用户界面可以在不需要密码确认的情况下访问用户的助记词。此行为违反了用户界面与后台进程之间的预期安全边界，而密码提示本应作为安全保护措施。

虽然该问题不能直接利用，但如果MetaMask将来容易受到跨站脚本攻击，则会构成重大风险。考虑到潜在的严重性和加强助记词保护的重要性，MetaMask团队奖励@bug_vs_me一次性奖金3,500美元以表彰此发现。

该问题已在MetaMask扩展版本11.7.1中解决，现在在任何用户界面代码访问钱包助记词之前都会强制要求密码确认。

时间线 清除验证徽章已完成身份验证和背景调查的黑客。

• bug_vs_me向MetaMask提交报告。2023年12月10日UTC时间晚上8:23
• bug_vs_me更改报告标题。2023年12月10日UTC时间晚上8:25
• bug_vs_me发表评论。2023年12月13日UTC时间晚上9:21
• nick_metamask MetaMask员工发表评论。2023年12月14日UTC时间晚上8:06
• bug_vs_me发表评论。2023年12月14日UTC时间晚上8:07
• nick_metamask MetaMask员工将状态更改为已分类。2023年12月15日UTC时间晚上7:29
• bug_vs_me发表评论。2023年12月15日UTC时间晚上7:31
• nick_metamask MetaMask员工发表评论。2023年12月20日UTC时间下午4:48
• MetaMask奖励bug_vs_me 3,500美元奖金。2023年12月20日UTC时间下午4:49
• bug_vs_me发表评论。2023年12月20日UTC时间下午5:15
• nick_metamask MetaMask员工关闭报告并将状态更改为已解决。2024年1月15日UTC时间下午2:56
• bug_vs_me发表评论。2024年1月15日UTC时间下午2:57
• bug_vs_me请求披露此报告。2025年6月10日UTC时间上午8:12
• nick_metamask MetaMask员工同意披露此报告。3天前
• 此报告已被披露。3天前

报告于 2023年12月10日UTC时间晚上8:23 报告者 bug_vs_me 报告至 MetaMask 管理参与者 报告ID #2280279 已解决 严重性 中等 (6.1) 披露时间 2025年7月31日UTC时间晚上7:36 弱点 使用替代路径或通道绕过身份验证 CVE ID 无 赏金 $3,500 账户详情 无

看起来您的JavaScript已禁用。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。