Podle nedávného výzkumu by uživatelé kryptopeněženky Metamask mohli být vystaveni riziku ztráty všech svých digitálních aktiv nebo dokonce fyzických hrozeb. Bezpečnostní analytik a kryptograf Alexandru Lupascu, spoluzakladatel protokolu OMNIA, našel tuto chybu zabezpečení v populární peněžence Web 3.0.
Jak moc se dá ublížit?
Lupascu zjistil, že zlomyslná strana může jednoduše vytvořit nezaměnitelný token (NFT) a získat IP adresu uživatele převodem bezplatného vlastnictví digitálního umění. Hacker by musel utratit jen 50 dolarů, aby napadl něčí soukromí. Zmínil: "Nepodceňujte riziko spojené s úniky IP."
Lupascu dodal, že „pokud zákeřní aktéři získají více informací z IP adresy (například geolokace, GSM operátor atd.), mohou to změnit na fyzická rizika, jako je únos.
Kromě toho může být tento útok podle kryptografa „ničivější než útok typu Distributed Denial of Service (DDoS)“. Pro jednoduché srovnání, tento útok může být osmkrát silnější než útok botnetu Mirai v říjnu 2016, který zničil Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb a mnoho dalších oblíbených webů.
Alexandru zveřejnil kompletní prohlídku toho, jak se útok provádí, od ražení NFT přes jeho převod na oběť až po získání IP adresy a konečně, narušení soukromí nebo dokonce krádež jejich kryptografických aktiv. Tento útok testoval na aplikaci iOS Metamask verze 3.7.0, ale může to být stejné i pro verzi pro Android. Vyrazil NFT na OpenSea, největším trhu NFT, a upravil standardní smart kontrakt ERC-1155 s Remix Ethereum IDE.
Opravili to?
Podle Lupascu našel bezpečnostní chybu a adresoval ji týmu Metamask 14. prosince 2021, ale oni zanedbali a reagovali na vyřešení tohoto problému do 2. čtvrtletí 2022. Řekl: „Pro nás je nepřijatelné nechat tak velkého uživatele základna v ohrožení tak dlouho, zvláště pokud se to vědělo předem, jak se říká.“
Poté, co byl tento výzkum představen veřejnosti, Daniel Finlay, který je zakladatelem Metamask, připustil, "Myslím, že tento problém je již dlouhou dobu široce známý, takže si nemyslím, že se na něj vztahuje lhůta pro zveřejnění."
Finlay dodal: „Alex má pravdu, když nás volá, že jsme to neřešili dříve. Nyní se na tom začíná pracovat. Díky za kopnutí do kalhot a omlouvám se, že jsme to potřebovali."
Abychom nezapomněli, ConsenSys, mateřská společnost Metamask, získala 200 milionů dolarů, přičemž Metamask v listopadu 21 překonal 2021 milionů aktivních uživatelů měsíčně. Nejoblíbenější kryptopeněženka se také používá jako brána k 3,700 3.0 decentralizovaným aplikacím Web XNUMX (dApps).
Co si o tomto tématu myslíte? Napište nám a řekněte nám to!
Odmítnutí odpovědnosti
Veškeré informace obsažené na našich webových stránkách jsou publikovány v dobré víře a pouze pro obecné informační účely. Jakákoli akce, kterou čtenář provede na základě informací nalezených na našich webových stránkách, je výhradně na jeho vlastní riziko.
Zdroj: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/