El miércoles, MetaMask dijo que había revelado una vulnerabilidad de seguridad crítica en versiones anteriores de su billetera criptográfica con la ayuda de investigadores de seguridad de Halborn. La empresa de seguridad recibió un premio de $ 50,000 por el descubrimiento.
Para los usuarios de MetaMask anteriores a la versión 10.11.3, tres requisitos previos conducirían a posibles vulnerabilidades. Estos incluyen: 1) un disco duro sin cifrar, 2) importar una frase de recuperación secreta en la extensión MetaMask en un dispositivo que ha sido comprometido, robado o acceso no autorizado, y 3) usar «Mostrar frase secreta para «recuperación» para ver la frase de recuperación de pantalla secreta de alguien durante el proceso de importación.
«Solo descubrimos que la frase secreta para la recuperación podría derivarse en circunstancias muy específicas, y pudimos introducir nuevas protecciones durante el período que Halborn estaba esperando para revelar».
Obviamente, el exploit afecta a todas las versiones de navegador de las versiones de la cartera de MetaMask antes de la actualización 10.11.3 y a todos los sistemas operativos, si se cumplen las tres circunstancias, pero no a las versiones móviles.
MetaMask advierte a los usuarios afectados que migren sus fondos de sus billeteras comprometidas. Sin embargo, tenga en cuenta que se deben cumplir las tres condiciones para que la vulnerabilidad esté activa en versiones anteriores de MetaMask.
