El proveedor de billeteras criptográficas MetaMask informó una vulnerabilidad que podría afectar a una porción muy pequeña de sus usuarios. Descubierta por la firma de seguridad de blockchain Halborn, la vulnerabilidad podría permitir que un mal actor tome posesión de la frase de recuperación secreta de un usuario y comprometa sus fondos.
Lectura relacionada | ¿Rusia sigue prohibiendo las criptomonedas? Un proyecto de ley para prohibir los activos digitales ha pasado la primera lectura
Esta vulnerabilidad afecta a varias billeteras criptográficas web y permite a un atacante extraer una frase de recuperación secreta de una computadora personal. Como se mencionó, la vulnerabilidad no afecta a todos los usuarios de MetaMask, sino a una porción muy pequeña.
Esto se debe a que el usuario deberá cumplir 3 condiciones para estar sujeto a este ataque: usar un disco duro sin cifrar, el usuario habría tenido que importar la frase de recuperación secreta de la extensión web de MetaMask a un dispositivo comprometido, o estar usando el extensión de billetera criptográfica desde una computadora no segura y use la casilla de verificación “mostrar frase de recuperación secreta” durante el proceso de importación.
Fuente: MetaMask vía Medium
El proveedor de la billetera criptográfica preparó una guía de migración para ayudar a los usuarios a mover sus fondos a una nueva billetera. En ese sentido, la empresa recomendó a los usuarios que cumplan con estas condiciones y a los usuarios que crean que podrían cumplirlas que sigan la guía. Este documento se puede encontrar en el siguiente enlace.
Los usuarios con la intención de migrar a una nueva billetera deben tener fondos suficientes para pagar las tarifas de gas requeridas, dijo el proveedor de la billetera. Estas tarifas pueden “volverse costosas” según los fondos del usuario y los contratos inteligentes que “almacenan o administran esos activos”.
Los activos bajo los estándares Ethereum ETC-20, ERC-721 (NFT) y ERC-1155 deben ser una prioridad. El proveedor de la billetera advirtió:
Si su cuenta se ha visto comprometida, es posible que haya colocado un bot de barrido en su cuenta. Si este es el caso, tan pronto como transfiera tokens, es posible que se transfieran a la dirección del atacante.
¿Están seguros sus fondos de MetaMask?
Como aclaró MetaMask, la vulnerabilidad no afecta a los usuarios de dispositivos móviles, sino solo a los usuarios de macOS, Linux y Windows que usan navegadores web basados en Google Chrome, Firefox o Chromium. La empresa implementó una “mitigación” para esta vulnerabilidad.
En ese sentido, se solicitó a todos los usuarios actualizar sus criptobilleteras a la versión 10.11.3. También se alentó a los usuarios a ponerse en contacto con el Soporte de MetaMask para obtener asistencia o información adicional.
La compañía ha otorgado a Halborn una recompensa de $50,000. Hace dos días, la billetera criptográfica proporcionada lanzó un programa de recompensas llamado HackerOne para “trabajar con la comunidad de seguridad para encontrar vulnerabilidades en la billetera y adelantarse a las amenazas Web3”.
El programa se lanzó con 4 niveles de seguridad con diferentes recompensas. Los descubrimientos de seguridad baja recibirán un pago total de $ 1,000, los de seguridad media $ 2,000, los de seguridad alta $ 15,000 y los críticos, como la vulnerabilidad descrita anteriormente, recibirán un pago de $ 50,000 por cualquier descubrimiento.
Lectura relacionada | Los tenedores de Bitcoin permanecerán cautelosos mientras continúa la correlación con las acciones
En el momento de escribir este artículo, Ethereum (ETH) cotiza a $1180 con una pérdida del 3 % en el gráfico de 4 horas.
ETH tiende a la baja en el gráfico de 4 horas. Fuente: ETHUSD Tradingview