Tuoreen tutkimuksen mukaan Metamaskin kryptolompakon käyttäjät voivat olla vaarassa menettää kaiken digitaalisen omaisuutensa tai jopa fyysisiä uhkia. Tietoturva-analyytikko ja kryptografi Alexandru Lupascu, OMNIA-protokollan perustaja, löysi tämän haavoittuvuuden suositusta Web 3.0 -lompakosta.
Kuinka paljon haittaa voi tehdä?
Lupascu havaitsi, että pahantahtoinen osapuoli voi yksinkertaisesti luoda non-fungible tokenin (NFT) ja saada käyttäjän IP-osoitteen siirtämällä digitaalisen taiteen ilmaisen omistusoikeuden. Hakkerin on käytettävä jopa 50 dollaria hyökätäkseen jonkun yksityisyyteen. Hän mainitsi: "Älä aliarvioi IP-vuotojen riskiä."
Lupascu lisäsi, että "jos pahantahtoiset toimijat saavat enemmän tietoa IP-osoitteesta (ajatellen maantieteellistä sijaintia, GSM-operaattoria jne.), he voivat muuttaa sen fyysisiksi riskeiksi, kuten kidnappauksiksi."
Lisäksi tämä hyökkäys voi olla "tuhoisempi kuin hajautettu palvelunestohyökkäys (DDoS)", kryptografin mukaan. Yksinkertaisen vertailun vuoksi tämä hyökkäys voi olla kahdeksan kertaa tehokkaampi kuin Mirai-botnet-hyökkäys lokakuussa 2016, joka kaatui Twitterin, Redditin, Spotifyn, GitHubin, Netflixin, Airbnb:n ja monet muut suositut verkkosivustot.
Alexandru julkaisi täydellisen esittelyn siitä, miten hyökkäys tehdään, NFT:n lyömisestä sen siirtämiseen uhrille IP-osoitteen saamiseen ja lopuksi yksityisyyden vaarantumiseen tai jopa salausomaisuuksien varastamiseen. Hän testasi tätä hyökkäystä iOS Metamask -sovelluksen versiossa 3.7.0, mutta se saattaa olla sama myös Android-versiossa. Hän loi NFT:n OpenSeassa, suurimmalla NFT-markkinapaikalla, ja muokkasi ERC-1155-standardin älykkään sopimuksen Remix Ethereum IDE.
Korjasivatko he sen?
Lupascun mukaan hän löysi ja käsitteli tietoturvavirheen Metamask-tiimille 14. joulukuuta 2021, mutta he laiminlyöivät ongelman ja reagoivat korjatakseen tämän ongelman vuoden 2 toiselle neljännekselle mennessä. Hän sanoi: "Meille ei ole hyväksyttävää jättää näin suuri käyttäjä tukikohta vaarassa niin pitkään, varsinkin jos tämä tiedettiin etukäteen, kuten he sanovat."
Kun tämä tutkimus esitettiin yleisölle, Daniel Finlay, joka on Metamaskin perustaja, hyväksytty, "Luulen, että tämä ongelma on ollut laajalti tiedossa pitkään, joten en usko, että ilmoitusaikaa sovelletaan."
Finlay lisäsi: "Alex on oikeassa kutsuessaan meitä, koska emme puuttuneet asiaan aikaisemmin. Aloitetaan työskentely nyt. Kiitos potkusta housuihin, ja anteeksi, että tarvitsimme sitä."
Ei pidä unohtaa, että Metamaskin emoyhtiö ConsenSys keräsi 200 miljoonaa dollaria Metamaskin yli 21 miljoonan kuukausittaisen aktiivisen käyttäjän määrän marraskuussa 2021. Suosituinta kryptolompakkoa käytetään myös yhdyskäytävänä 3,700 3.0 hajautettuun Web XNUMX -sovellukseen (dApps).
Mitä mieltä olet tästä aiheesta? Kirjoita meille ja kerro meille!
Vastuun kieltäminen
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja vain yleisiin tarkoituksiin. Kaikki toimet, jotka lukija toteuttaa verkkosivustollamme oleviin tietoihin, ovat ehdottomasti omalla vastuullaan.
Lähde: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/