加密货币钱包提供商MetaMask今日发布公告,宣布已弃用eth_decrypt和eth_getEncryption PublicKey这两种API中可用的方法,所谓弃用是指,这些方法仍将在API中可用,并会继续按照当前方式运行,但MetaMask不再建议使用它们。
MetaMask解释,eth_decrypt和eth_getEncryption PublicKey这两种方法之所以被弃用,是因为不再像原来那样安全,目前虽然还没有基于这些方法的已知漏洞或漏洞攻击案例,但MetaMask不再愿意推广它们的使用。
MetaMask表示,将重新推出一个以更安全方式生成私钥的版本,但MetaMask决定首先发布上述弃用警告,因为MetaMask不能完全确认上述两种方法的安全性。
MetaMask指出,MetaMask知晓有第三方目前依赖上述方法,以使他们的产品得以运作,因此,目前没有计划删除这两种API方法,这将使目前依赖这些方法的第三方有时间根据MetaMask建议来自行调整。
MetaMask提及,Eth_deccrypt和eth_getEncryption PublicKey方法是根据EIP-1098所构建,但EIP-1098后来被弃用,而MetaMask仍努力、并有兴趣提供加密工具,因此,如果有替代的加密EIP提案,MetaMask可能会支持并采用新方法。
安全漏洞问题
据120BTC.com此前报导,MetaMask近期多次传出安全漏洞问题,MetaMask在16日刚宣布修补一个安全漏洞,该漏洞源于Javascript中某个问题,可能导致助记词在内存中储存一段时间,使攻击者有机从未加密硬盘上获取助记词,从而控制受害用户加密货币资产和NFT。
慢雾资安本月则撰文提醒,如果用户使用过MetaMask Version<10.11.3,且在导入助记词的时候点击了Show Secret Recovery Phrase,那么用户的助记词有可能泄露,可以参考MetaMask的文章,对硬盘进行加密并更换钱包、迁移数字资产。