Enligt ny forskning kan användare av Metamask kryptoplånbok riskera att förlora alla sina digitala tillgångar eller till och med fysiska hot. Säkerhetsanalytikern och kryptografen Alexandru Lupascu, en av grundarna av OMNIA-protokollet, hittade denna sårbarhet i den populära Web 3.0-plånboken.
Hur mycket skada kan göras?
Lupascu fann att en illvillig part helt enkelt kan skapa en icke-fungibel token (NFT) och få en användares IP-adress genom att överföra fritt ägande av den digitala konsten. En hacker skulle behöva spendera så lite som $50 för att attackera någons integritet. Han nämnde: "Underskatta inte risken förknippad med IP-läckor."
Lupascu tillade att "om illvilliga aktörer hämtar mer information från IP-adressen (tänk geolokalisering, GSM-operatör, etc.), kan de förvandla det till fysiska risker, såsom kidnappning."
Dessutom kan denna attack vara mer "förödande än en DDoS-attack (Distributed Denial of Service)", enligt kryptografen. För en enkel jämförelse kan denna attack vara åtta gånger mer kraftfull än Mirai botnet-attacken i oktober 2016 som tog ner Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb och många fler populära webbplatser.
Alexandru publicerade en komplett rundtur om hur attacken går till, från att prägla en NFT till att överföra den till offret till att få IP-adressen och slutligen, äventyra integriteten eller till och med stjäla deras kryptotillgångar. Han testade denna attack på iOS Metamask-appen version 3.7.0, men det kan också vara samma för Android-versionen. Han skapade en NFT på OpenSea, den största NFT-marknadsplatsen, och redigerade ERC-1155 standardsmarta kontrakt med Remix Ethereum IDE.
Fixade de det?
Enligt Lupascu hittade han och åtgärdade säkerhetsbristen till Metamask-teamet den 14 december 2021, men de försummade och svarade för att åtgärda problemet före Q2 2022. Han sa: "För oss är det oacceptabelt att lämna en så stor användare riskbas så länge, speciellt om detta var känt i förväg, som de säger."
Efter att denna forskning visades för allmänheten, Daniel Finlay, som är grundaren av Metamask, medgav, "Jag tror att det här problemet har varit allmänt känt under en lång tid, så jag tror inte att en avslöjandeperiod gäller."
Finlay tillade, "Alex gör rätt i att ropa ut oss för att han inte tog upp det tidigare. Börjar jobba på det nu. Tack för sparken i byxorna, och ledsen att vi behövde det.”
Inte att förglömma, ConsenSys, Metamasks moderbolag, samlade in 200 miljoner dollar och Metamask överträffade 21 miljoner aktiva användare per månad i november 2021. Den mest populära kryptoplånboken används också som en inkörsport till 3,700 3.0 Web XNUMX decentraliserade applikationer (dApps).
Vad tycker du om detta ämne? Skriv till oss och berätta!
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/