Według ostatnich badań użytkownicy portfela kryptowalutowego Metamask mogą być narażeni na ryzyko utraty wszystkich swoich zasobów cyfrowych, a nawet zagrożeń fizycznych. Analityk bezpieczeństwa i kryptograf Alexandru Lupascu, współzałożyciel protokołu OMNIA, znalazł tę lukę w popularnym portfelu Web 3.0.
Ile szkody można wyrządzić?
Lupascu odkrył, że złośliwa strona może po prostu utworzyć niezamienny token (NFT) i uzyskać adres IP użytkownika, przekazując bezpłatną własność dzieła cyfrowego. Haker musiałby wydać zaledwie 50 dolarów, aby zaatakować czyjąś prywatność. Wspomniał: „Nie lekceważ ryzyka związanego z wyciekami adresów IP”.
Lupascu dodał, że „jeśli złośliwi przestępcy uzyskają więcej informacji z adresu IP (np. o geolokalizacji, operatorze GSM itp.), mogą zamienić je w ryzyko fizyczne, takie jak porwanie”.
Co więcej, według kryptologa atak ten może być bardziej „niszczycielski niż atak typu rozproszona odmowa usługi (DDoS). Dla prostego porównania atak ten może być osiem razy silniejszy niż atak botnetu Mirai z października 2016 r., który zniszczył Twittera, Reddita, Spotify, GitHuba, Netflixa, Airbnb i wiele innych popularnych witryn internetowych.
Alexandru opublikował pełny przegląd sposobu przeprowadzania ataku, od wybicia NFT, przekazania go ofierze, uzyskania adresu IP i wreszcie naruszenia prywatności, a nawet kradzieży jej zasobów kryptograficznych. Przetestował ten atak na aplikacji Metamask na iOS w wersji 3.7.0, ale może być taki sam w wersji na Androida. Stworzył NFT na OpenSea, największym rynku NFT i zredagował inteligentny kontrakt w standardzie ERC-1155 z Remix IDE dla Ethereum.
Czy to naprawili?
Według Lupascu znalazł lukę w zabezpieczeniach i zaadresował ją do zespołu Metamask 14 grudnia 2021 r., ale zespół zaniedbał ten problem i odpowiedział, aby rozwiązać ten problem do drugiego kwartału 2 r. Powiedział: „Dla nas niedopuszczalne jest pozostawienie tak dużego użytkownika baza była zagrożona przez tak długi czas, zwłaszcza jeśli, jak to mówią, było o tym wiadomo wcześniej”.
Po upublicznieniu wyników tych badań Daniel Finlay, założyciel Metamask, Przyznał„Uważam, że kwestia ta jest powszechnie znana od dawna, dlatego nie sądzę, aby obowiązywał okres ujawniania informacji”.
Finlay dodał: „Alex ma rację, nas krytykując, że nie zajęliśmy się tą sprawą wcześniej. Zaczynam nad tym pracować już teraz. Dziękuję za kopniaka w spodnie i przepraszam, że go potrzebowaliśmy.
Nie zapominajmy, że ConsenSys, spółka matka Metamask, zebrała 200 milionów dolarów, a Metamask przekroczyła 21 milionów aktywnych użytkowników miesięcznie w listopadzie 2021 roku. Najpopularniejszy portfel kryptowalutowy jest również używany jako brama do 3,700 zdecentralizowanych aplikacji Web 3.0 (dApps).
Co myślisz na ten temat? Napisz do nas i powiedz nam!
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/