ETA:MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析

背景概述

2022年6月3日，MetaMask公開了白帽子發現的一個嚴重的Clickjacking漏洞，這個漏洞可以造成的影響是：在用戶的MM插件錢包處于解鎖狀態，用戶訪問惡意的站點時，站點可以利用iframe標簽將解鎖的MM插件錢包頁面嵌入到網頁中并進行隱藏，然后引導用戶在網站上進行點擊操作，實際上是在MM解鎖的頁面中進行操作，從而盜取用戶的數字貨幣或藏品等相關資產。鑒于MM的用戶體量較大，且ForkMetaMask插件錢包的項目也比較多，因此在MM公開這個漏洞后，我們立即開始對這個漏洞進行復現，然后開始搜尋這個漏洞對于其他ForkMetaMask項目的影響。

隨后，慢霧安全團隊盡可能地通知受到影響的項目方，并引導項目方進行修復。現在將這個Clickjacking漏洞的分析公開出來避免后續的項目踩坑。

Aave社區關于在Metis主網上部署Aave V3的提案已獲通過:金色財經報道，Aave社區發起的關于在 Metis 主網上部署Aave V3的提案現已獲得通過。該提案指出，若投票通過，Aave 將與 Bored Ghosts Developing（BGD）協調開始 Aave 部署，預計需 4 周時間。

該提案指出，MetisDAO 基金會將通過建設者挖礦激勵、生態系統贈款與Genesi DAC 投資資助 Aave 生態項目，建設者挖礦激勵計劃每月根據每個協議負責的月度總交易量分配 4000 枚 METIS。通過該集成，Aave 也可以通過協議費與建設者挖礦激勵計劃獲得額外收入。該提案提議在合約部署后的 6 個月內開展 10 萬枚 Metis 代幣流動性激勵活動，并與 Chaos Labs 合作，制定戰略分配。[2023/3/24 13:23:39]

漏洞分析

Blin Metaverse 正式開放LP質押礦池:據官方消息，Blin Metaverse將于UTC時間2021年10月13日8：00（北京時間16：00），正式開放LP質押礦池。首期LP礦池將分別支持BLIN-USDT（50x)、BLIN-BNB(45x)、BNB-USDT(3x)、BAKE-USDT(2x)等交易對。用戶可通過質押指定資產流動性獲取BLIN獎勵。

Blin Metaverse是基于幣安智能鏈BSC的元宇宙+NFTFi基礎設施。旨在通過IP重塑、虛擬社交、鏈上NFT資產鑄造、確權、價值流通等方式實現多元化虛擬現實交互的綜合性去中心化NFT基礎設施。目前已獲SoftBank（SG）、Gate.io Labs、Beacon Capital、BN Capital、Scorpion VC、CoinHub，Fusion Capital等多家機構戰略投資。[2021/10/13 20:25:22]

由于MM在發布這個Clickjacking漏洞的時候并沒有詳細的說明，僅是解釋了這個漏洞的利用場景以及能夠產生的危害，所以我在進行復現的時候也遇到了挺多坑，所以為了讓大家能夠更好地順暢地理解整個漏洞，我在進行漏洞分析之前先補充下一個知識點。

Coin Metrics聯合創始人：薩爾瓦多強制商家接受比特幣支付是不明智的:Coin Metrics聯合創始人Nic Carter今日在CoinDesk上刊文稱，薩爾瓦多最近通過的比特幣法案第七條相當于強制商家接受比特幣支付，這是極端牽強的，經濟交易每天發生數百萬次，幾乎沒有哪個國家有能力或意愿將這種貨幣轉型強加給本國人民。強迫商家以如此快的速度接受比特幣在上也是不明智的。從實踐的角度來看，政府應該考慮不執行或完全取消第 7 條。[2021/6/19 23:48:56]

我們來了解下Manifest-WebAccessibleResources。在瀏覽器擴展錢包中有這么一個配置：web_accessible_resources，其用來約束Web頁面能夠訪問到瀏覽器擴展的哪些資源，并且在默認的情況下是Web頁面訪問不到瀏覽器擴展中的資源文件，僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是http/https等協議下的頁面默認是沒法訪問到chrome-extension，當然如果擴展錢包配置了web_accessible_resources將擴展錢包內部的資源暴露出來，那么就能被http/https等協議下的頁面訪問到了。

Metis“重修巴別塔”第一階段（預約）耗時97分鐘:據官方消息，Layer2 DAO基礎協議Metis舉行的首個由社群共同完成 NFT 藝術品“重修巴別塔”的活動，第一階段（預約）耗時97分鐘（原計劃5天）就完成了2000個NFT的預留和2000個全球部落（DAO）的生成。在進入申領階段之前，所有已建成的部落仍然可以邀請更多成員加入進行信任（Trust）來提升部落的算力值，加入的成員也可以獲得Metis Token作為激勵。

申領階段開始以后，最先申領到NFT的256個部落將共同完成“重建巴別塔”藝術品NFT拼圖，該藝術品NFT將在OpenSea進行拍賣，收益所得將在藝術家和256個參與社群之間進行分配。[2021/4/22 20:46:32]

而MM擴展錢包在10.14.6之前的版本一直保留著"web_accessible_resources":的配置，而這個配置是漏洞得以被利用的一個關鍵點。

NFT游戲Cometh將于2月24日21:00推出Aavegotchi聯名飛船:NFT游戲Cometh將于2月24日21:00推出以Aavegotchi為主題的聯名飛船。本次發售的飛船共有411艘，分為三個等級。罕見款“FREN”飛船共200艘，罕見款“MONOCLE”共200艘，稀有款“CURVE”共10艘，神話款“GHOST”共1艘。[2021/2/24 17:48:08]

然而在進行漏洞分析的時候，發現在app/scripts/phishing-detect.js(v10.14.5)中已經對釣魚頁面的跳轉做了協議的限制。。

我們繼續跟進這個協議限制的改動時間點，發現是在如下這個commit中添加了這個限制，也就是說在v10.14.1之前由于沒有對跳轉的協議進行限制，導致Clickjacking漏洞可以輕易被利用。

相關的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程，我們切換到protocol限制之前的版本v10.14.0進行測試，發現可以輕松復現整個攻擊過程。

但是在MM公開的報告中也提到，Clickjacking漏洞是在v10.14.6進行了修復，所以v10.14.5是存在漏洞的，再繼續回頭看這里的猜想。。

經過反復翻閱代碼，在v10.14.5以及之前版本的代碼，會在釣魚頁面提示的時候，如果用戶點擊了continuingatyourownrisk.之后就會將這個hostname加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現MetaMaskPhishingDetection的提醒。

比如這個釣魚網站：ethstake.exchange，通過iframe標簽將釣魚網站嵌入到網頁中，然后利用Clickjacking漏洞就能將惡意的釣魚網站加入到白名單中，同時在用戶下一次訪問釣魚網站的時候MM不會再繼續彈出警告。

分析結論

如上述的分析過程，其實MM近期修復的是兩個Clickjacking漏洞，在復現過程中發現最新的v10.14.6已經將web_accessible_resources的相關配置移除了，徹底修復了MetaMaskPhishingDetection頁面的點擊劫持的問題。

利用Clickjacking漏洞誘導用戶進行轉賬的修復：

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞將釣魚網站加入到白名單的修復：

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對chrome擴展商店中的各個知名的擴展錢包進行了Clickjacking的漏洞檢測，發現如下的錢包受到Clickjacking漏洞影響：

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊，但是到目前為止部分項目方還未反饋，并且MM公開這個漏洞至今已經過去了11天。為了避免用戶因為該漏洞遭受損失，慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包，等待錢包官方發布修復版本后，用戶可以及時更新到已修復的版本進行使用。

Tags：METMETAETAINGMeta ShibaDOGEMETA價格Tierra MetaDoges Spirited Howling Castle Game

FTX