Паводле апошніх даследаванняў, карыстальнікі крыптакашалькоў Metamask могуць быць схільныя рызыцы страты ўсіх сваіх лічбавых актываў або нават фізічных пагроз. Аналітык бяспекі і крыптаграф Аляксандру Лупаску, сузаснавальнік пратаколу OMNIA, знайшоў гэтую ўразлівасць у папулярным кашальку Web 3.0.
Колькі шкоды можна нанесці?
Лупаску выявіў, што зламыснік можа проста стварыць незаменны токен (NFT) і атрымаць IP-адрас карыстальніка, бясплатна перадаўшы права ўласнасці на лічбавае мастацтва. Хакеру трэба было б выдаткаваць усяго 50 долараў, каб атакаваць чыю-небудзь прыватнасць. Ён адзначыў: «Не варта недаацэньваць рызыку, звязаную з уцечкай IP».
Лупаску дадаў, што «калі зламыснікі атрымліваюць больш інфармацыі з IP-адраса (напрыклад, геалакацыя, аператар GSM і г.д.), яны могуць ператварыць гэта ў фізічныя рызыкі, такія як выкраданне людзей».
Акрамя таго, па словах крыптаграфа, гэтая атака можа быць больш «разбуральнай, чым атака размеркаванага адмовы ў абслугоўванні (DDoS). Для простага параўнання, гэтая атака можа быць у восем разоў больш магутнай, чым атака на бот-сетку Mirai у кастрычніку 2016 года, якая вывела з ладу Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb і многія іншыя папулярныя вэб-сайты.
Аляксандру апублікаваў поўны агляд таго, як праводзіцца атака, ад чаканкі NFT да перадачы ахвяры да атрымання IP-адраса і, нарэшце, парушэння канфідэнцыяльнасці або нават крадзяжу іх крыпта-актываў. Ён пратэставаў гэтую атаку на дадатку iOS Metamask версіі 3.7.0, але гэта можа быць тое ж самае для версіі Android. Ён адчаканіў NFT на OpenSea, найбуйнейшым рынку NFT, і адрэдагаваў стандартны смарт-кантракт ERC-1155 з Рэмікс IDE Ethereum.
Ці выправілі?
Па словах Лупаску, ён выявіў недахоп бяспекі і звярнуўся да каманды Metamask 14 снежня 2021 г., але яны занядбалі і адказалі, каб выправіць гэту праблему да 2 квартала 2022 г. Ён сказаў: «Для нас недапушчальна пакідаць такога вялікага карыстальніка база ў небяспецы так доўга, асабліва калі пра гэта было вядома загадзя, як кажуць».
Пасля таго, як гэта даследаванне было прадэманстравана грамадскасці, Дэніэл Фінлей, які з'яўляецца заснавальнікам Metamask, прызнаў, «Я думаю, што гэтая праблема была шырока вядомая на працягу доўгага часу, таму я не думаю, што перыяд раскрыцця прымяняецца.»
Фінлі дадаў: «Алекс мае рацыю, заклікаючы нас за тое, што мы не звярнуліся да гэтага раней. Пачынаем працу над гэтым зараз. Дзякуй за ўдар у штаны, і прабачце, што нам гэта было патрэбна».
Не варта забываць, што ConsenSys, мацярынская кампанія Metamask, прыцягнула 200 мільёнаў долараў, і Metamask перавысіў 21 мільён актыўных карыстальнікаў штомесяц у лістападзе 2021 года. Самы папулярны крыптакашалёк таксама выкарыстоўваецца ў якасці шлюза для 3,700 дэцэнтралізаваных прыкладанняў Web 3.0 (dApps).
Што вы думаеце на гэтую тэму? Напішыце нам і раскажыце!
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/