Според скорошно проучване потребителите на крипто портфейл Metamask могат да бъдат изложени на риск да загубят всичките си цифрови активи или дори физически заплахи. Анализаторът по сигурността и криптограф Александру Лупаску, съосновател на протокола OMNIA, откри тази уязвимост в популярния портфейл Web 3.0.
Колко вреда може да се направи?
Лупаску установи, че злонамерена страна може просто да създаде незаменим токен (NFT) и да получи IP адреса на потребителя, като прехвърли безплатно собствеността върху цифровото изкуство. Хакер ще трябва да похарчи само $50, за да атакува нечия поверителност. Той спомена: „Не подценявайте риска, свързан с течове на IP“.
Лупаску добави, че „ако злонамерени участници извличат повече информация от IP адреса (помислете за геолокация, GSM оператор и т.н.), те могат да я превърнат във физически рискове, като отвличане“.
Освен това, тази атака може да бъде по-разрушителна от атака с разпределен отказ на услуга (DDoS)“, според криптографа. За просто сравнение, тази атака може да бъде осем пъти по-мощна от атаката с ботнет Mirai през октомври 2016 г., която свали Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb и много други популярни уебсайтове.
Александру публикува пълна обиколка на това как се извършва атаката, от копаене на NFT до прехвърлянето му на жертвата до получаване на IP адреса и накрая, компрометиране на поверителността или дори кражба на техните крипто активи. Той тества тази атака върху приложението iOS Metamask версия 3.7.0, но може да е същото и за версията на Android. Той изсече NFT на OpenSea, най-големият пазар за NFT, и редактира стандартния смарт договор ERC-1155 с Remix Ethereum IDE.
Оправиха ли го?
Според Лупаску, той е открил и адресирал грешката в сигурността на екипа на Metamask на 14 декември 2021 г., но те са пренебрегнали и са отговорили, за да отстранят този проблем до второто тримесечие на 2 г. Той каза: „За нас е неприемливо да оставим такъв голям потребител базата е изложена на риск толкова дълго, особено ако това е било известно предварително, както се казва."
След като това изследване беше показано на обществеността, Даниел Финли, който е основател на Metamask, допуснати, „Мисля, че този проблем е широко известен от дълго време, така че не мисля, че се прилага период на разкриване.“
Финли добави: „Алекс е прав да ни извика, че не сме се справили по-рано. Започваме работа по него сега. Благодаря за удара в гащите и съжалявам, че имахме нужда от него.”
Да не забравяме, ConsenSys, компанията майка на Metamask, събра 200 милиона долара, като Metamask надмина 21 милиона активни потребители месечно през ноември 2021 г. Най-популярният крипто портфейл се използва и като портал към 3,700 децентрализирани приложения на Web 3.0 (dApps).
Какво мислите по тази тема? Пишете ни и ни кажете!
Отказ от отговорност
Цялата информация, съдържаща се на нашия уебсайт, се публикува добросъвестно и само за обща информация. Всяко действие, което читателят предприема спрямо информацията, намираща се на нашия уебсайт, е на свой собствен риск.
Източник: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/