慢雾:简析 MetaMask 钱包 demonic 漏洞_ION:Metagalaxy Land

使用过MetaMask版本低于10.11.3的用户,如在导入助记词时点击了ShowSecretRecoveryPhrase,那么助记词可能泄露了。2022年6月16日,MetaMask官方公布白帽子发现的一个被称为demonicvulnerability的安全问题,漏洞影响的版本<10.11.3,由于MM的用户体量较大,且基于MM进行开发的钱包也比较多,所以这个漏洞的影响面挺大的,因此MM也慷慨支付了白帽子5万刀的赏金。当团队向我同步了这个漏洞后,我开始着手对这个漏洞进行分析和复现。

漏洞分析

上海市人才理论研究基地研究员:可从四个方面缓解区块链人才匮乏情况:上海市人才理论研究基地研究员杨国庆表示,鉴于区块链为代表的新经济产业发展迅猛,其未来发展和对社会经济的影响程度很大程度上取决于专业人才的供应情况。从四个方面可以缓解人才严重匮乏的情况。其一,要加速高校各种新兴科技人才培养,为战略科技产业发展提供源源不断的后备人才;其二,鉴于区块链行业人才的庞大需求,高校需要调整抓也结构,在原有相关专业的基础上,加快审批新设区块链专业,培养科班人才;其三,职业技术技能标准的制定可以引导相关专业背景的理论人才和从事相关工作的实务人才参照知识技能体系,按照市场人才供求法则向区块链行业靠拢,加速区块链人才培养过程。其四,行业爆发期会遇到人才瓶颈是规律,今后随着该行业逐渐发展进步,不断沉淀下来的人才会缓解紧缺局面。(华夏时报)[2021/2/26 17:54:14]

白帽子将这个漏洞命名为demonicvulnerability,具体的漏洞描述比较复杂,为了让大家更好的理解这个问题,我尽可能用简单的表述来说明这个问题。在使用MM浏览器扩展钱包导入助记词时,如果点击"ShowSecretRecoveryPhrase"按钮,浏览器会将输入的完整助记词明文缓存在本地磁盘,这是利用了浏览器本身的机制,即浏览器会将Tabs的页面中的Text文本从内存保存到本地,以便在使用浏览器的时候可以及时保存页面的状态,用于下次打开页面的时候恢复到之前的页面状态。

声音 | nChain CEO:BSV将遵循四个基本支柱以获得成功:据Coingeek报道,nChain CEO Jimmy Nguyen周二在旧金山举行的世界数字资产峰会(WDAS)上发表了主题演讲。他表示,BSV为了在未来获得成功,将遵循四个基本支柱,包括稳定性、可扩展性、安全性以及实现安全的即时交易。[2018/12/13]

基于对这个漏洞的理解,我开始进行漏洞复现,由于MM仅对这个漏洞进行简要的描述并不公开漏洞细节,所以在复现的时候遇到了如下的问题:

缓存被记录到磁盘中的文件路径未知

慢雾:Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息,Badger DAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。据慢雾MistTrack分析,截止目前黑客已将获利的加密货币换成 renBTC,并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]

缓存何时被记录到磁盘未知

为了解决问题1,我开始对浏览器的缓存目录结构进行分析和测试,发现在使用浏览器(chrome)的时候相关的Tabs缓存是记录到了如下的目录:

声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

Tabs缓存路径:

/Users/$(whoami)/Library/ApplicationSupport/Google/Chrome/Default/Sessions/

然后继续解决问题2:Sessions目录会记录Tabs的缓存,为了找出缓存被记录的时间节点,我对导入助记词的整个流程进行了分解,然后在每一步操作之后去观察Sessions的数据变化。发现在如下这个页面输入助记词数据后,需要等待10-20s,然后关闭浏览器,明文的助记词信息就会被记录到Sessions缓存数据中。

分析结论

用户正常在使用MM的时候是将助记词相关的数据放入内存中进行存储,一般认为是相对较为安全的,但是由于demonicvulnerability这个漏洞导致助记词会被缓存到本地磁盘,因此就会有如下的新的利用场景:

明文的助记词数据缓存在本地磁盘,可以被其他应用读取,在PC电脑中很难保证其他应用程序不去读取Sessions缓存文件。

明文的助记词数据缓存在本地磁盘,如果磁盘未被加密,可以通过物理接触恢复助记词。比如在类似维修电脑等场景下,当他人对电脑进行物理接触时可以从硬盘中读取助记词数据。

作为普通用户,如果你使用过MetaMaskVersion<10.11.3,且在导入助记词的时候点击了ShowSecretRecoveryPhrase,那么你的助记词有可能泄露了,可以参考MetaMask的文章对磁盘进行加密并更换钱包迁移数字资产。

作为扩展钱包项目方,如果采用了在Tabs页面中以Text的方式输入助记词导入钱包,均受到demonicvulnerability漏洞的影响,可以参考MetaMaskVersion>=10.11.3的实现,为每个助记词定义单独的输入框,并且输入框的类型为Password。

原文标题:《MetaMask浏览器扩展钱包demonic漏洞分析》

撰文:Thinking@慢雾安全团队

来源:ForesightNews

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:31ms0-4:544ms