Entrambe le entità hanno rivelato una vulnerabilità che potrebbe mettere a repentaglio la sicurezza dei fondi depositati su MetaMask e Phantom e che riguarderebbe alcune persone che hanno utilizzato il processo di importazione delle frasi segrete. La vulnerabilità è stata tuttavia risolta su entrambi i portafogli, pertanto si consiglia vivamente di eseguire gli aggiornamenti necessari.
Alcuni Wallets MetaMask e Phantom compromise
Mercoledì 15 giugno, MetaMask ha pubblicato un post sul blog in cui spiegava che era stata scoperta una falla in una versione precedente del suo portafoglio che poteva compromettere la sicurezza dei fondi degli utenti.
Questa falla riguarda solo gli utenti che utilizzano MetaMask sul proprio computer attraverso un browser, quindi chi utilizza l’applicazione mobile non è affetto da questa problematica. Secondo il comunicato, la falla è stata risolta a partire dalla versione 10.11.3.
A tal fine, l’azienda incoraggia vivamente i suoi utenti ad effettuare l’aggiornamento, se necessario. Tuttavia, ciò riguarderebbe solo una manciata di utenti del famoso portafoglio Ethereum.
Infatti, secondo MetaMask, un utente è potenzialmente coinvolto se soddisfa le tre condizioni seguenti:
- Il suo hard disk non era criptato;
- Ha importato la sua frase di recupero segreta in un’estensione del browser MetaMask su un computer potenzialmente a rischio;
- Se durante il processo di importazione è stata selezionata la casella “Mostra frase di recupero segreta“.
Se soddisfate tutte queste condizioni, il vostro portafoglio potrebbe essere esposto. Il team di MetaMask raccomanda vivamente, in questo caso, di trasferire i fondi a un nuovo portafoglio su un dispositivo sicuro.
Inoltre, la vulnerabilità riguarderebbe in particolare gli utenti che hanno utilizzato il metodo di importazione su un dispositivo compromesso o rubato poco tempo dopo.
Il comunicato stampa specifica che chi utilizza un portafoglio hardware (come Ledger) per proteggere i propri fondi è risparmiato da questo potenziale rischio. Questo ci ricorda quanto sia fondamentale proteggere le criptovalute con questo tipo di portafoglio.
Anche il portafoglio Phantom è affetto dal difetto
Anche Phantom, uno dei principali portafogli della blockchain Solana (SOL), è stato colpito. Secondo la sua stessa dichiarazione, le patch hanno iniziato a essere applicate poco a poco a partire da gennaio, fino a quando la falla è stata completamente risolta con un aggiornamento in aprile.
La falla è simile a quella del portafoglio MetaMask. In altre parole, un utente Phantom potrebbe essere colpito se ha importato la sua frase di recupero segreta da un browser potenzialmente vulnerabile.
È stata la società specializzata in sicurezza delle blockchain, Halborn, a scoprire per prima la vulnerabilità, prima di segnalarla ai team di sviluppo dei due portafogli, che non hanno mancato di ringraziarla calorosamente. MetaMask ha scelto di pagarle 50.000 dollari come ricompensa.
L’ingegnere di sicurezza che ha scoperto il difetto l’anno scorso si è poi unito al team Phantom, che secondo l’azienda ha aggiunto un valore reale alla sicurezza dei suoi utenti:
Siamo lieti di dare il benvenuto a Oussama Amri, che ha scoperto la minaccia l'anno scorso mentre era a Halborn [...]. Grazie al duro lavoro degli ingegneri Josiah Savary e Laamia Islam, non solo sono state modificate parti sostanziali della nostra base di codice, ma abbiamo anche riscritto completamente il modo in cui generiamo le frasi seed.
Il comunicato di Phantom afferma che i dettagli della vulnerabilità non sono stati resi noti prima, in modo che tutte le parti coinvolte potessero fornire una soluzione adeguata. L’azienda vuole anche condividere il codice sorgente di una parte del suo portafoglio per aiutare le sue controparti:
Una volta eseguite ulteriori verifiche quest'estate, intendiamo aprire il codice source del nostro approccio al pacchetto BIP-39 per la generazione delle frasi d'avvio, in modo che anche altri portafogli possano proteggere meglio se stessi e i propri utenti.
Ancora una volta, vorremmo ricordarvi che la migliore sicurezza per le vostre criptovalute è e rimarrà un portafoglio hardware, in modo da avere il controllo totale dei vostri fondi.