MetaMask กล่าวว่าได้พบช่องโหว่ด้านความปลอดภัยที่สำคัญในกระเป๋าเงิน crypto รุ่นเก่า ด้วยความช่วยเหลือจากนักวิจัยด้านความปลอดภัยที่ Halborn บริษัทรักษาความปลอดภัยได้รับรางวัล 50,000 ดอลลาร์สำหรับการค้นพบนี้
สำหรับผู้ใช้ส่วนขยาย MetaMask ก่อนเวอร์ชัน 10.11.3 มีเงื่อนไขที่จำเป็นสามประการจะนำไปสู่ช่องโหว่ที่อาจเกิดขึ้น ได้แก่ (1) ฮาร์ดไดรฟ์ที่ไม่ได้เข้ารหัส (2) นำเข้า secret recovery phrase ไปยังส่วนขยาย MetaMask บนอุปกรณ์ที่ถูกบุกรุก ถูกขโมย หรือมีการเข้าถึงโดยไม่ได้รับอนุญาต และ (3) มีการใช้ “Show Secret Recovery Phrase” ในช่องทำเครื่องหมายเพื่อดู secret recovery phrase บนหน้าจอระหว่างกระบวนการนำเข้า
เห็นได้ชัดว่าช่องโหว่ดังกล่าวส่งผลต่อเวอร์ชันเบราว์เซอร์ของ MetaMask wallet ก่อนการอัปเดต 10.11.3 ในระบบปฏิบัติการทั้งหมดถ้าตรงตามเงื่อนไขทั้งสามประการ แต่ไม่ใช่เวอร์ชันสำหรับมือถือ
MetaMask เตือนผู้ใช้ที่ได้รับผลกระทบ ให้ย้ายเงินจากกระเป๋าเงินที่ถูกบุกรุก อย่างไรก็ตาม พึงระลึกไว้เสมอว่ามันต้องตรงตามเงื่อนไขทั้งสามข้อเพื่อให้ช่องโหว่นี้ทำงานบน MetaMask เวอร์ชันเก่าได้