漏洞概要

@bug_vs_me发现MetaMask浏览器扩展的用户界面（UI）可在无需密码确认的情况下访问用户的助记词（seed phrase）。此行为违反了UI与后台进程之间的预期安全边界，而密码提示本应作为安全保护措施。

风险影响

尽管该问题无法直接利用，但如果MetaMask未来存在跨站脚本（XSS）漏洞，将构成重大风险。考虑到潜在的严重性及加强助记词保护的重要性，MetaMask团队向@bug_vs_me发放了一次性奖金3500美元以表彰这一发现。

修复情况

该问题已在MetaMask扩展版本11.7.1中修复，新版本现在强制要求在任何UI代码访问钱包助记词之前进行密码确认。

时间线

• 2023年12月10日 20:23 UTC
  bug_vs_me向MetaMask提交报告

• 2023年12月14日 20:06 UTC
  MetaMask员工nick_metamask发表评论

• 2023年12月15日 19:29 UTC
  状态变更为"已分类"（Triaged）

• 2023年12月20日 16:49 UTC
  MetaMask向bug_vs_me奖励3500美元奖金

• 2024年1月15日 14:56 UTC
  报告关闭，状态变为"已解决"（Resolved）

• 2025年6月10日 08:12 UTC
  bug_vs_me请求披露此报告

• 12天前
  nick_metamask同意披露此报告

漏洞详情

• 报告ID：#2280279
• 严重程度：中等（6.1）
• 披露时间：2025年7月31日 19:36 UTC
• 弱点类型：使用替代路径或通道的身份验证绕过
• 赏金金额：3500美元
• CVE ID：无

该漏洞涉及身份验证机制的安全边界失效，具体表现为前端界面能够绕过密码验证直接访问敏感的核心密钥材料，这在加密货币钱包安全中属于严重的设计缺陷。