MetaMask安全漏洞:提取助记词时密码保护完全失效,增加攻击面

安全研究员bug_vs_me发现MetaMask浏览器扩展存在严重安全漏洞,用户界面无需密码确认即可访问助记词,违反了UI与后台进程间的安全边界。该漏洞虽不能直接利用,但若结合XSS攻击将造成重大风险,MetaMask团队已奖励3500美元并发布11.7.1版本修复。

漏洞概要

@bug_vs_me发现MetaMask浏览器扩展的用户界面(UI)可在无需密码确认的情况下访问用户的助记词(seed phrase)。此行为违反了UI与后台进程之间的预期安全边界,而密码提示本应作为安全保护措施。

风险影响

尽管该问题无法直接利用,但如果MetaMask未来存在跨站脚本(XSS)漏洞,将构成重大风险。考虑到潜在的严重性及加强助记词保护的重要性,MetaMask团队向@bug_vs_me发放了一次性奖金3500美元以表彰这一发现。

修复情况

该问题已在MetaMask扩展版本11.7.1中修复,新版本现在强制要求在任何UI代码访问钱包助记词之前进行密码确认。

时间线

  • 2023年12月10日 20:23 UTC
    bug_vs_me向MetaMask提交报告

  • 2023年12月14日 20:06 UTC
    MetaMask员工nick_metamask发表评论

  • 2023年12月15日 19:29 UTC
    状态变更为"已分类"(Triaged)

  • 2023年12月20日 16:49 UTC
    MetaMask向bug_vs_me奖励3500美元奖金

  • 2024年1月15日 14:56 UTC
    报告关闭,状态变为"已解决"(Resolved)

  • 2025年6月10日 08:12 UTC
    bug_vs_me请求披露此报告

  • 12天前
    nick_metamask同意披露此报告

漏洞详情

  • 报告ID:#2280279
  • 严重程度:中等(6.1)
  • 披露时间:2025年7月31日 19:36 UTC
  • 弱点类型:使用替代路径或通道的身份验证绕过
  • 赏金金额:3500美元
  • CVE ID:无

该漏洞涉及身份验证机制的安全边界失效,具体表现为前端界面能够绕过密码验证直接访问敏感的核心密钥材料,这在加密货币钱包安全中属于严重的设计缺陷。

comments powered by Disqus
使用 Hugo 构建
主题 StackJimmy 设计