Podľa nedávneho výskumu môžu byť používatelia krypto peňaženky Metamask vystavení riziku straty všetkých svojich digitálnych aktív alebo dokonca fyzických hrozieb. Bezpečnostný analytik a kryptograf Alexandru Lupascu, spoluzakladateľ protokolu OMNIA, našiel túto zraniteľnosť v populárnej peňaženke Web 3.0.
Koľko škody sa dá narobiť?
Lupascu zistil, že škodlivá strana môže jednoducho vytvoriť nezameniteľný token (NFT) a získať IP adresu používateľa prevodom bezplatného vlastníctva digitálneho umenia. Hacker by musel minúť len 50 dolárov, aby napadol niekoho súkromie. Spomenul: "Nepodceňujte riziko spojené s únikmi IP."
Lupascu dodal, že „ak zlomyseľní aktéri získajú viac informácií z IP adresy (napríklad geolokáciu, GSM operátora atď.), môžu to zmeniť na fyzické riziká, ako je únos.
Okrem toho môže byť tento útok podľa kryptografa „ničivejší ako útok typu Distributed Denial of Service (DDoS)“. Pre jednoduché porovnanie, tento útok môže byť osemkrát silnejší ako útok botnetu Mirai v októbri 2016, ktorý zničil Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb a mnoho ďalších populárnych webových stránok.
Alexandru zverejnil kompletnú prehliadku toho, ako sa útok vykonáva, od razenia NFT cez jeho prenos obeti až po získanie IP adresy a napokon ohrozenie súkromia alebo dokonca krádež ich kryptografických aktív. Tento útok testoval na aplikácii iOS Metamask vo verzii 3.7.0, no rovnaký môže byť aj pre verziu pre Android. Razil NFT na OpenSea, najväčšom trhu NFT, a upravil štandardnú inteligentnú zmluvu ERC-1155 s Remix Ethereum IDE.
Opravili to?
Podľa Lupascu našiel a adresoval bezpečnostnú chybu tímu Metamask 14. decembra 2021, ale zanedbali a reagovali na opravu tohto problému do Q2 2022. Povedal: „Pre nás je neprijateľné nechať takého veľkého používateľa základňu v ohrození tak dlho, najmä ak sa o tom vedelo vopred, ako sa hovorí.“
Po tom, čo sa tento výskum ukázal verejnosti, Daniel Finlay, ktorý je zakladateľom Metamask, prijatý„Myslím si, že tento problém je už dlho známy, takže si nemyslím, že sa naň vzťahuje lehota na zverejnenie.“
Finlay dodal: „Alex má právo nás zavolať, že sme to neriešili skôr. Teraz sa na tom začína pracovať. Ďakujeme za kopnutie do nohavíc a prepáčte, že sme to potrebovali."
Aby som nezabudol, ConsenSys, materská spoločnosť Metamask, vyzbierala 200 miliónov dolárov, pričom Metamask prekonala 21 miliónov mesačne aktívnych používateľov v novembri 2021. Najpopulárnejšia kryptopeňaženka sa tiež používa ako brána k 3,700 3.0 decentralizovaným aplikáciám Web XNUMX (dApps).
Co si myslite o tejto teme? Napíšte nám a povedzte nám to!
Vylúčenie zodpovednosti
Všetky informácie uvedené na našej webovej stránke sú zverejnené v dobrej viere a iba na všeobecné informačné účely. Akékoľvek kroky, ktoré čitateľ vykoná na základe informácií nájdených na našej webovej stránke, sú výlučne na jeho vlastné riziko.
Zdroj: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/