MetaMask、Phantom、Brave、xDefi 等電子錢包都提供瀏覽器插件,這些插件會在瀏覽器中注入 JavaScript,讓網頁可以透過這些插件來幫你儲存錢包的密碼。密碼的原文通常是一串亂碼,人類無法記住,於是他們又借助了 BIP39 Mnemonic (助記詞) 來幫助你記憶密碼,如下圖:
此時發生了一個問題,現代瀏覽器如 Google Chrome、FireFox 等都有 “Restore Session” 功能,這項功能會暫時將瀏覽器的輸入欄位存到硬碟中。如果輸入欄位是 non-password input,裡面的內容就會在未被加密的情況下被存到硬碟中。
MetaMask 的 BIP39 助記符被以 non-password input field 被瀏覽器以純文本形式存儲在硬碟,攻擊者可以在其中檢索它並獲得對錢包的訪問權限。目前在尚未發現由於 CVE-2022-32396 導致錢包被盜取的案例,所以目前無法估計損失。如果這些 browser extension wallet 的使用者在 MetaMask 10.11.3 (Mar 23 2022) 修復這個漏洞後,仍未更換 passphrase 並且更新 MetaMask,就會暴露在 wallet 被盜走的風險中。
