Згідно з останніми дослідженнями, користувачі крипто-гаманця Metamask можуть ризикувати втратити всі свої цифрові активи або навіть фізичні загрози. Аналітик із безпеки та криптограф Александру Лупаску, співзасновник протоколу OMNIA, виявив цю вразливість у популярному гаманці Web 3.0.
Скільки можна завдати шкоди?
Лупаску виявив, що зловмисник може просто створити незмінний токен (NFT) і отримати IP-адресу користувача, безкоштовно передавши право власності на цифрове мистецтво. Хакерові доведеться витратити всього 50 доларів, щоб атакувати чиюсь конфіденційність. Він зазначив: «Не варто недооцінювати ризики, пов’язані з витоком IP».
Лупаску додав, що «якщо зловмисники отримають більше інформації з IP-адреси (наприклад, геолокацію, оператора GSM тощо), вони можуть перетворити це на фізичні ризики, такі як викрадення».
Крім того, за словами криптографа, ця атака може бути більш «руйнівною, ніж атака з розподіленою відмовою в обслуговуванні (DDoS). Для простого порівняння, ця атака може бути у вісім разів потужнішою, ніж атака ботнету Mirai у жовтні 2016 року, яка знищила Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb та багато інших популярних веб-сайтів.
Олександру опублікував повний огляд того, як відбувається атака, від карбування NFT до передачі його жертві до отримання IP-адреси і, нарешті, порушення конфіденційності або навіть викрадення їхніх криптоактивів. Він перевірив цю атаку на програмі iOS Metamask версії 3.7.0, але вона може бути такою ж і для версії Android. Він створив NFT на OpenSea, найбільшому ринку NFT, і відредагував стандартний смарт-контракт ERC-1155 з Ремікс IDE Ethereum.
Вони це виправили?
За словами Лупаску, 14 грудня 2021 року він знайшов і звернувся з проблемою безпеки до команди Metamask, але вони проігнорували й відповіли, щоб вирішити цю проблему до другого кварталу 2 року. Він сказав: «Для нас неприпустимо залишати такого великого користувача База так довго під загрозою, особливо якщо про це було відомо заздалегідь, як кажуть».
Після того, як це дослідження було показано громадськості, Деніел Фінлей, який є засновником Metamask, зізнався, «Я думаю, що це питання широко відоме протягом тривалого часу, тому я не думаю, що період розкриття інформації не застосовується».
Фінлей додав: «Алекс має рацію, закликаючи нас за те, що ми не вирішили проблему раніше. Розпочати роботу над ним зараз. Дякуємо за кайф, і вибачте, що він нам знадобився».
Не забувайте, що ConsenSys, материнська компанія Metamask, залучила 200 мільйонів доларів, а Metamask перевищив 21 мільйон щомісячних активних користувачів у листопаді 2021 року. Найпопулярніший криптовалютний гаманець також використовується як шлюз до 3,700 децентралізованих програм Web 3.0 (dApps).
Що ви думаєте на цю тему? Напишіть нам і розкажіть нам!
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/