MetaMask | 报告 #2280279 - 提取助记词时密码保护完全失效！增加诈骗者攻击面 | HackerOne

@bug_vs_me 发现 MetaMask 浏览器扩展的用户界面可以在不需要密码确认的情况下访问用户的助记词。此行为违反了用户界面与后台进程之间的预期安全边界，而密码提示本应作为安全防护措施。

尽管该问题无法直接利用，但如果 MetaMask 将来遭受跨站脚本（XSS）攻击，它将构成重大风险。考虑到潜在严重性以及加强助记词保护的重要性，MetaMask 团队向 @bug_vs_me 奖励了一次性奖金 3,500 美元，以表彰这一发现。

该问题已在 MetaMask 扩展版本 11.7.1 中解决，现在任何用户界面代码在访问钱包助记词之前都必须进行密码确认。

时间线

• bug_vs_me 向 MetaMask 提交报告。
  2023年12月10日，UTC时间晚上8:23
• bug_vs_me 更改报告标题。
  2023年12月10日，UTC时间晚上8:25
• bug_vs_me 发表评论。
  2023年12月13日，UTC时间晚上9:21
• nick_metamask（MetaMask 员工）发表评论。
  2023年12月14日，UTC时间晚上8:06
• bug_vs_me 发表评论。
  2023年12月14日，UTC时间晚上8:07
• nick_metamask（MetaMask 员工）将状态更改为“已分类”。
  2023年12月15日，UTC时间晚上7:29
• bug_vs_me 发表评论。
  2023年12月15日，UTC时间晚上7:31
• nick_metamask（MetaMask 员工）发表评论。
  2023年12月20日，UTC时间下午4:48
• MetaMask 奖励 bug_vs_me 3,500 美元奖金。
  2023年12月20日，UTC时间下午4:49
• bug_vs_me 发表评论。
  2023年12月20日，UTC时间下午5:15
• nick_metamask（MetaMask 员工）关闭报告并将状态更改为“已解决”。
  2024年1月15日，UTC时间下午2:56
• bug_vs_me 发表评论。
  2024年1月15日，UTC时间下午2:57
• bug_vs_me 请求披露此报告。
  2025年6月10日，UTC时间上午8:12
• nick_metamask（MetaMask 员工）同意披露此报告。
  10天前
• 此报告已被披露。
  10天前

报告详情

• 报告时间：2023年12月10日，UTC时间晚上8:23
• 报告人：bug_vs_me
• 报告对象：MetaMask
• 报告 ID：#2280279
• 状态：已解决
• 严重性：中等（6.1）
• 披露时间：2025年7月31日，UTC时间晚上7:36
• 弱点：使用替代路径或通道绕过身份验证
• CVE ID：无
• 奖金：3,500 美元
• 账户详情：无