Glede na nedavne raziskave bi lahko uporabniki kripto denarnice Metamask tvegali izgubo vseh svojih digitalnih sredstev ali celo fizične grožnje. Varnostni analitik in kriptograf Alexandru Lupascu, soustanovitelj protokola OMNIA, je to ranljivost našel v priljubljeni denarnici Web 3.0.
Koliko škode se lahko naredi?
Lupascu je ugotovil, da lahko zlonamerna stranka preprosto ustvari nezamenljiv žeton (NFT) in pridobi naslov IP uporabnika s prenosom brezplačnega lastništva digitalne umetnosti. Heker bi moral za napad na zasebnost nekoga porabiti samo 50 dolarjev. Omenil je: "Ne podcenjujte tveganja, povezanega z uhajanjem IP."
Lupascu je dodal, da "če zlonamerni akterji pridobijo več informacij iz naslova IP (pomislite na geolokacijo, GSM operaterja itd.), lahko to spremenijo v fizična tveganja, kot je ugrabitev."
Poleg tega je ta napad lahko bolj "uničujoč kot napad porazdeljene zavrnitve storitve (DDoS)", pravi kriptograf. Za preprosto primerjavo je ta napad lahko osemkrat močnejši od napada botneta Mirai oktobra 2016, ki je uničil Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb in številna druga priljubljena spletna mesta.
Alexandru je objavil popolno predstavitev, kako se napad izvaja, od kovanja NFT do prenosa na žrtvo do pridobivanja naslova IP in nazadnje ogrožanja zasebnosti ali celo kraje njihovih kripto sredstev. Ta napad je preizkusil v aplikaciji iOS Metamask različice 3.7.0, vendar je morda enako tudi za različico Android. Koval je NFT na OpenSea, največjem trgu NFT, in uredil standardno pametno pogodbo ERC-1155 z Remix Ethereum IDE.
So to popravili?
Kot pravi Lupascu, je 14. decembra 2021 našel in naslovil varnostno napako na ekipo Metamask, vendar so zanemarili in se odzvali, da bi to težavo odpravili do drugega četrtletja 2. Rekel je: »Za nas je nesprejemljivo, da zapustimo tako velikega uporabnika baza tako dolgo ogrožena, še posebej, če je bilo to znano vnaprej, kot pravijo.
Potem ko je bila ta raziskava predstavljena javnosti, Daniel Finlay, ki je ustanovitelj Metamaska, priznal, "Mislim, da je to vprašanje splošno znano že dolgo, zato mislim, da ne velja obdobje za razkritje."
Finlay je dodal: »Alex ima prav, da nas opozori, ker tega nismo obravnavali prej. Začetek dela na tem zdaj. Hvala za udarec v hlače in žal, da smo ga potrebovali."
Da ne pozabimo, ConsenSys, Metamaskovo matično podjetje, je zbralo 200 milijonov dolarjev, pri čemer je Metamask novembra 21 presegel 2021 milijonov mesečnih aktivnih uporabnikov. Najbolj priljubljena kripto denarnica se uporablja tudi kot prehod do 3,700 decentraliziranih aplikacij Web 3.0 (dApps).
Kaj menite o tej temi? Pišite nam in nam povejte!
Zavrnitev odgovornosti
Vse informacije na našem spletnem mestu so objavljene v dobri veri in zgolj za splošne informacije. Vsako dejanje, ki ga bralec izvede na podlagi informacij na naši spletni strani, je izključno na lastno odgovornost.
Vir: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/