MetaMask安全漏洞:提取助记词时密码保护完全失效,增加诈骗攻击面

安全研究员发现MetaMask浏览器扩展存在严重安全漏洞,用户界面无需密码确认即可访问助记词,违反了UI与后台进程间的安全边界。该漏洞虽不能直接利用,但若结合XSS攻击将造成重大风险,团队已奖励3500美元并发布11.7.1版本修复。

MetaMask漏洞报告 #2280279 - 提取助记词时密码保护完全失效!增加诈骗者攻击面

漏洞摘要

@bug_vs_me发现MetaMask浏览器扩展的用户界面可以在不需要密码确认的情况下访问用户的助记词。这种行为违反了用户界面与后台进程之间预期的安全边界,而密码提示本应作为安全保护措施。

技术细节

虽然该问题不能直接利用,但如果MetaMask将来容易受到跨站脚本(XSS)攻击,它将构成重大风险。考虑到潜在的严重性和加强助记词保护的重要性,MetaMask团队向@bug_vs_me授予了一次性3500美元的奖金以表彰这一发现。

该问题已在MetaMask扩展版本11.7.1中得到解决,现在在任何用户界面代码访问钱包助记词之前都会强制执行密码确认。

时间线

  • 2023年12月10日 20:23 UTC - @bug_vs_me向MetaMask提交报告
  • 2023年12月10日 20:25 UTC - 修改报告标题
  • 2023年12月14日 - MetaMask工作人员nick_metamask发表评论
  • 2023年12月15日 - 状态更改为"已分类"
  • 2023年12月20日 - 奖励@bug_vs_me 3500美元奖金
  • 2024年1月15日 - 报告关闭,状态改为"已解决"
  • 2025年6月10日 - 请求披露此报告
  • 2天前 - 同意披露此报告

报告详情

  • 报告日期: 2023年12月10日 20:23 UTC
  • 报告人: @bug_vs_me
  • 报告对象: MetaMask
  • 报告ID: #2280279
  • 状态: 已解决
  • 严重性: 中等(6.1)
  • 披露日期: 2025年7月31日 19:36 UTC
  • 弱点类型: 使用替代路径或通道的身份验证绕过
  • CVE ID: 无
  • 奖金: 3500美元

该漏洞涉及认证绕过安全机制,通过替代访问路径绕过了应有的密码保护措施,虽然当前评级为中等严重性,但其潜在影响在结合其他攻击向量时可能显著扩大。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次