15 декабря в официальном блоге Фонда Эфириума появилось сообщение об обнаружении серьезной уязвимости в браузере Эфириума Mist версии 0.9.3 и всех предыдущих версий. Уязвимость обнаружена в коде браузера Chromium, который используется в Mist.
В официальном кошельке Эфириума Ethereum Wallet уязвимости нет. На момент написания статьи, никакой информации о взломах Mist не поступало.
Как сказано в блоге:
-
Уязвимые конфигурации: Mist browser Beta v0.93 и ниже;
-
Вероятность: средняя;
-
Серьезность проблемы: высокая;
-
При посещении мошеннических страниц с помощью Mist могут быть похищены закрытые ключи.
Поскольку приложение для настольных компьютеров Ethereum Wallet не является браузером – это локальный кошелек, то его не касаются проблемы Mist и разработчики рекомендуют пользоваться им для транзакций и взаимодействия со смарт-контрактами.
Исторически, официальный кошелек Эфириума назывался Mist, а разделение его на браузер Mist и кошелек Ethereum Wallet произошло относительно недавно, так что многие пользователи по старой памяти называют кошелек и браузер одинаково – Mist.
Несмотря на то, что официальное сообщение появилось только 15 декабря, еще неделю назад пользователи Mist видели на его основной странице уведомление о том, что ввиду возможной уязвимости, не рекомендуется посещать неизвестные страницы.
Браузер Mist должен стать элементом, объединяющим блокчейн Эфириума и технологический слой, составляющий Web 3.0, и является важной частью экосистемы. Правда, в последнее время, большее распространение получил браузер Metamask, представляющий собой расширение браузера Chrome. На момент написания статьи, никаких комментариев от команды Metamask по поводу ситуации не поступало.
С точки зрения безопасности, создание браузера - то есть приложения, загружающего код из неизвестного источника, представляет собой сложную задачу. Браузер Mist построен на платформе Electron, в основе которой лежит Chromium. Многочисленные ошибки в системе безопасности Chromium фиксируются в каждом новом релизе.
Промежуточное программное обеспечение Electron обеспечивает создание различных кроссплатформенных приложений с помощью JavaScript. До недавнего времени скорость обновлений Electron отставала от обновлений Chromium. Поэтому, основной недостаток такой архитектуры состоит в том, что любая обнаруженная уязвимость Chromium находится вне досягаемости команды разработчиков Mist: сначала нужен патч для Cromium, затем Electron должен обновить свою версию Chromium, и только тогда Mist может обновиться до следующей версии Electron.
Команда Mist изучает различные возможности для того, чтобы сократить отставание обновлений по времени от Chromium. Согласно предварительным выводам, лучшим потенциальным решением может стать Brave Muon – форк Electron, который использует браузер Brave, предъявляющий высокие требования к безопасности, поскольку он сам интегрирован с криптовалютным кошельком BAT.