MetaMask报告#2280279 - 提取助记词时密码保护完全失效！增加了诈骗者的攻击面

漏洞摘要

@bug_vs_me发现MetaMask浏览器扩展的用户界面可以在不需要密码确认的情况下访问用户的助记词。这种行为违反了用户界面与后台进程之间的预期安全边界，而密码提示本应作为安全保护机制。

风险分析

虽然该问题无法直接利用，但如果MetaMask将来存在跨站脚本（XSS）漏洞，将构成重大风险。考虑到潜在的严重性和加强助记词保护的重要性，MetaMask团队向@bug_vs_me授予了3,500美元的一次性奖金以表彰这一发现。

修复情况

该问题已在MetaMask扩展版本11.7.1中得到解决，现在任何用户界面代码在访问钱包助记词之前都需要强制执行密码确认。

时间线

• 2023年12月10日：@bug_vs_me向MetaMask提交报告
• 2023年12月15日：状态更改为"已分类"
• 2023年12月20日：奖励@bug_vs_me 3,500美元奖金
• 2024年1月15日：报告关闭，状态更改为"已解决"
• 2025年7月31日：报告公开披露

技术详情

• 严重程度：中等（6.1）
• 弱点类型：使用替代路径或通道进行身份验证绕过
• CVE ID：无
• 赏金金额：3,500美元

该漏洞的发现和及时修复体现了MetaMask对安全性的高度重视，以及白帽黑客在保护用户资产安全方面的重要作用。