Potrivit cercetărilor recente, utilizatorii de portofel criptografic Metamask ar putea fi expuși riscului de a-și pierde toate activele digitale sau chiar amenințările fizice. Analistul de securitate și criptograful Alexandru Lupascu, co-fondatorul protocolului OMNIA, a găsit această vulnerabilitate în popularul portofel Web 3.0.
Cât rău se poate face?
Lupascu a descoperit că o parte rău intenționată poate pur și simplu să creeze un token nefungibil (NFT) și să obțină adresa IP a unui utilizator prin transferarea dreptului de proprietate gratuit asupra artei digitale. Un hacker ar trebui să cheltuiască până la 50 de dolari pentru a ataca confidențialitatea cuiva. El a menționat: „Nu subestimați riscul asociat cu scurgerile de IP”.
Lupascu a adăugat că „dacă actorii rău intenționați obțin mai multe informații din adresa IP (gândiți-vă la geolocalizare, operator GSM etc.), le pot transforma în riscuri fizice, cum ar fi răpirea”.
În plus, acest atac poate fi mai „devastator decât un atac Distributed Denial of Service (DDoS)”, potrivit criptografului. Pentru o simplă comparație, acest atac poate fi de opt ori mai puternic decât atacul Mirai botnet din octombrie 2016, care a distrus Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb și multe alte site-uri populare.
Alexandru a publicat un tur complet al modului în care se efectuează atacul, de la baterea unui NFT la transferul acestuia către victimă până la obținerea adresei IP și, în sfârșit, compromiterea confidențialității sau chiar furtul activelor cripto. El a testat acest atac pe versiunea 3.7.0 a aplicației iOS Metamask, dar ar putea fi același și pentru versiunea Android. A creat un NFT pe OpenSea, cea mai mare piață NFT și a editat contractul inteligent standard ERC-1155 cu Remix IDE Ethereum.
L-au reparat?
Potrivit lui Lupascu, el a găsit și a adresat defectul de securitate echipei Metamask pe 14 decembrie 2021, dar ei au neglijat și au răspuns pentru a remedia această problemă până în T2 2022. El a spus: „Pentru noi, este inacceptabil să lăsăm un utilizator atât de mare. Baza în pericol atât de mult timp, mai ales dacă acest lucru a fost cunoscut dinainte, așa cum se spune.”
După ce această cercetare a fost prezentată publicului, Daniel Finlay, care este fondatorul Metamask, admise, „Cred că această problemă este cunoscută pe scară largă de mult timp, așa că nu cred că se aplică o perioadă de dezvăluire.”
Finlay a adăugat: „Alex are dreptate să ne sune pentru că nu ne-am adresat mai devreme. Începe lucrul la el acum. Mulțumim pentru lovitura din pantaloni și îmi pare rău că am avut nevoie de ea.”
Ca să nu uităm, ConsenSys, compania-mamă a Metamask, a strâns 200 de milioane de dolari, Metamask depășind 21 de milioane de utilizatori activi lunar în noiembrie 2021. Cel mai popular portofel cripto este folosit și ca poartă către 3,700 de aplicații descentralizate Web 3.0 (dApps).
Ce părere aveți despre acest subiect? Scrieți-ne și spuneți-ne!
Declinare a responsabilităţii
Toate informațiile conținute pe site-ul nostru web sunt publicate cu bună-credință și numai în scopuri generale. Orice acțiune pe care cititorul o ia asupra informațiilor găsite pe site-ul nostru este strict pe propria răspundere.
Sursa: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/