MetaMask ostrzega swoich użytkowników przed rosnącą nowością oszustwo kryptograficzne nazywa się „zatruciem adresu”, jednak dla niektórych wiadomość przyszła nieco za późno.
Portfele kryptowalut mogą zawierać jedno lub więcej kont, każde z własnym adresem wygenerowanym kryptograficznie, wyjaśnia MetaMask w zwolnić. Jednak te długie liczby szesnastkowe są celowo trudne do zapamiętania, co wymaga częstego używania funkcji kopiowania i wklejania. Właśnie to próbuje wykorzystać adres zatrucia.
Jak adresy stają się „zatrute”
Zamiast wyrafinowanego hakowania, które zagraża infrastrukturze protokołu, zatruwanie adresów opiera się raczej na ludzkiej psychologii i mechanice transakcji kryptograficznych. Przykładem jest następujący scenariusz.
W tym przypadku Użytkownik A dokonuje regularnych transakcji z Użytkownikiem B, o czym atakujący C dowiaduje się, że korzysta z oprogramowania monitorującego transfery niektórych tokenów, zazwyczaj stablecoinów. Atakujący użyje następnie generatora adresów „próżności”, aby utworzyć adres hakera C, który jest ściśle dopasowany do adresu użytkownika B.
Atakujący C przeprowadzi następnie transakcję o wartości 0 USD między adresem użytkownika A a adresem hakera C. Powoduje to „zatrucie” adresu, ponieważ adres hakera C zostaje zapisany w pamięci podręcznej nad adresem użytkownika B dla adresu użytkownika A. Ponieważ adres hakera C współdzieli takie same pierwsze i ostatnie 4 cyfry jak adres użytkownika B, osoba atakująca C ma nadzieję, że użytkownik A nieumyślnie użyje jego adresu podczas próby przeprowadzenia transakcji z użytkownikiem B.
Oszustwa można łatwo uniknąć, dokładnie sprawdzając adresy przed przystąpieniem do transakcji, jakkolwiek jest to żmudne.
Błędy MetaMaski
Niektórzy użytkownicy są rozczarowani opóźnieniem w ogłoszeniu wiadomości. „MetaMask w końcu dokumentuje atak zatruwania adresu po ponad 2 miesiącach” — napisał na Twitterze Han Tuzun. Jego post dostarczył m.in link do artykułu wyjaśniającego oszustwo z dokładnymi szczegółami, datowanego na początek grudnia.
Tuzun dalej ostrzegał użytkowników przed generatorami adresów próżnych, które mogą generować prawie identyczne adresy w ciągu kilku sekund. Użytkownik Twittera zlecił również budowniczym infrastruktury wystarczające ostrzeżenie użytkowników w interfejsie użytkownika przed takimi atakami.
Ta ostatnia wpadka MetaMask nastąpiła po tym, jak spotkała się z silną reakcją opinii publicznej po aktualizacji zasad przechowywania danych. Firma zaktualizowała swoją politykę prywatności pod koniec zeszłego roku, co doprowadziło do doniesień, że spowoduje to gromadzenie portfeli użytkowników i adresów IP.
To szybko doprowadziło do gorąca odpowiedź od społeczności kryptograficznej, co skłoniło dewelopera ConsenSys do opublikowania posta 6 grudnia, aby spróbować uspokoić swoich użytkowników.
Odpowiedzialność
BeInCrypto skontaktował się z firmą lub osobą zaangażowaną w tę historię, aby uzyskać oficjalne oświadczenie na temat ostatnich wydarzeń, ale jeszcze nie otrzymał odpowiedzi.
Źródło: https://beincrypto.com/metamask-addresses-latest-scam-late-for-some/