Команда MetaMask заявила, что с помощью компании в области безопасности Halborn удалось обнаружить критическую уязвимость в системе безопасности в старых версиях своего криптокошелька. За оказанную помощь компания получила вознаграждение в размере $50 000
Для пользователей расширения MetaMask до версии 10.11.3 наличие 3-х необходимых условий могло стать причиной потенциальной уязвимости: незашифрованный жесткий диск, импорт секретной фразы восстановления в расширение MetaMask на устройстве, которое было скомпрометировано, украдено или к которому есть несанкционированный доступ, использование опции «показать секретную фразу восстановления», что позволяло просматривать ее на экране во время процесса импорта.
«Мы обнаружили, что секретная фраза восстановления может быть похищена при весьма специфических обстоятельствах и добавили новые средства защиты», – сообщила команда MetaMask
Судя по всему, эксплойт затрагивает все браузерные версии кошелька MetaMask до обновления 10.11.3 и все операционные системы (в случае совпадения всех 3-х условий), но не мобильные версии.
MetaMask напомнил пользователям о необходимости перевести свои средства из скомпрометированных кошельков.