El miércoles, MetaMask dijo que descubrió una vulnerabilidad de seguridad crítica en versiones anteriores de su billetera criptográfica con la ayuda de investigadores de seguridad en Halborn. La empresa de seguridad recibió una recompensa de 50.000 dólares por el descubrimiento.
Para los usuarios de la extensión MetaMask antes de la versión 10.11.3, tres condiciones necesarias habrían llevado a la vulnerabilidad potencial: 1) un disco duro sin cifrar; 2) haber importado una frase de recuperación secreta en una extensión MetaMask en un dispositivo que fue comprometido, robado o tiene acceso no autorizado; y 3) haber utilizado la casilla de verificación “Mostrar frase de recuperación secreta” para ver la frase de recuperación secreta de uno en la pantalla durante el proceso de importación.
“Solo descubrimos que la Frase de recuperación secreta podría extraerse en circunstancias muy específicas, y pudimos introducir nuevas protecciones durante el período Halborn ha esperado para revelar”.
Aparentemente, el exploit afecta a todas las versiones de navegador de las versiones de billetera MetaMask anteriores a la actualización 10.11.3 ya todos los sistemas operativos si se cumplen las tres circunstancias, pero no a las versiones móviles.
MetaMask advierte a los usuarios afectados que migren sus fondos de sus billeteras comprometidas. Sin embargo, tenga en cuenta que se deben cumplir las tres condiciones para que la vulnerabilidad esté activa en versiones anteriores de MetaMask.
