Theo CoinDesk, TechFlow đưa tin, ít nhất 10 ví tiện ích mở rộng trình duyệt, bao gồm MetaMask và Phantom, có thể làm lộ thông tin đăng nhập do một vấn đề trong ngôn ngữ JavaScript. Lỗ hổng này có thể khiến cụm từ khôi phục (mnemonic phrase) được lưu trữ trong bộ nhớ tạm thời, tạo điều kiện cho kẻ tấn công khai thác. Hiện tại, cả MetaMask và Phantom đã vá lỗ hổng này.
MetaMask cho biết chỉ khi đồng thời thỏa mãn cả ba điều kiện: ổ cứng không được mã hóa, cụm từ khôi phục bị nhập vào thiết bị hoặc máy tính không đáng tin cậy, và người dùng đã sử dụng chức năng «Hiển thị cụm từ khôi phục» khi nhập khẩu, thì mới có khả năng bị xâm phạm.
Ngoài ra, Halborn đã nhận được khoản tiền thưởng 50.000 USD vì tiết lộ lỗ hổng này, đồng thời khuyến nghị người dùng nên chuyển sang địa chỉ ví mới. Steve Walbroehl, nhà đồng sáng lập Halborn, cho biết lỗ hổng này đã tồn tại rất lâu và để đảm bảo an toàn tối đa, tốt nhất người dùng nên thay đổi địa chỉ ví.




