Saskaņā ar jaunākajiem pētījumiem Metamask kriptonauda maku lietotājiem var rasties risks zaudēt visus savus digitālos aktīvus vai pat fiziskus draudus. Drošības analītiķis un kriptogrāfs Aleksandru Lupasku, OMNIA protokola līdzdibinātājs, atklāja šo ievainojamību populārajā Web 3.0 makā.
Cik lielu ļaunumu var nodarīt?
Lupascu atklāja, ka ļaunprātīga puse var vienkārši izveidot neaizvietojamu marķieri (NFT) un iegūt lietotāja IP adresi, nododot bezmaksas īpašumtiesības uz digitālo mākslu. Hakerim būtu jāiztērē līdz pat 50 $, lai uzbruktu kādas personas privātumam. Viņš minēja: "Nenovērtējiet par zemu risku, kas saistīts ar IP noplūdēm."
Lupasku piebilda, ka "ja ļaunprātīgi dalībnieki iegūst vairāk informācijas no IP adreses (domājiet par ģeogrāfisko atrašanās vietu, GSM mobilo sakaru operatoru utt.), viņi to var pārvērst par fizisko risku, piemēram, nolaupīšanu."
Turklāt, pēc kriptogrāfa domām, šis uzbrukums var būt “postošāks nekā izplatīts pakalpojuma atteikuma (DDoS) uzbrukums”. Vienkāršam salīdzinājumam: šis uzbrukums var būt astoņas reizes jaudīgāks nekā Mirai robottīkla uzbrukums 2016. gada oktobrī, kas iznīcināja Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb un daudzas citas populāras vietnes.
Aleksandru publicēja pilnīgu ceļvedi par to, kā tiek veikts uzbrukums, sākot no NFT izveides līdz tā pārsūtīšanai upurim līdz IP adreses iegūšanai un, visbeidzot, privātuma apdraudēšanai vai pat viņu kriptovalūtu līdzekļu nozagšanai. Viņš pārbaudīja šo uzbrukumu iOS Metamask lietotnes versijai 3.7.0, taču tas varētu būt tāds pats arī Android versijai. Viņš izveidoja NFT vietnē OpenSea, lielākajā NFT tirgū, un rediģēja ERC-1155 standarta viedo līgumu ar Remix Ethereum IDE.
Vai viņi to salaboja?
Pēc Lupasku teiktā, viņš 14. gada 2021. decembrī atrada un novērsa drošības trūkumu Metamask komandai, taču viņi to neņēma vērā un reaģēja, lai novērstu šo problēmu līdz 2. gada 2022. ceturksnim. Viņš teica: “Mums ir nepieņemami atstāt tik lielu lietotāju. bāze ir apdraudēta tik ilgi, it īpaši, ja tas bija zināms iepriekš, kā saka.
Pēc tam, kad šis pētījums tika parādīts sabiedrībai, Daniels Finlejs, kurš ir Metamask dibinātājs, atļauts, "Manuprāt, šī problēma ir bijusi plaši zināma jau ilgu laiku, tāpēc es nedomāju, ka uz to attiecas izpaušanas periods."
Finlejs piebilda: "Aleksam ir taisnība, aicinot mūs uz to, ka mēs to nerisinājām ātrāk. Tagad tiek sākts darbs pie tā. Paldies par sitienu pa biksēm, atvainojiet, ka mums tas bija vajadzīgs.
Neaizmirstiet, ka Metamask mātesuzņēmums ConsenSys piesaistīja 200 miljonus ASV dolāru, Metamask 21. gada novembrī pārsniedzot 2021 miljonu aktīvo lietotāju skaitu mēnesī. Populārākais kriptovalsts maciņš tiek izmantots arī kā vārteja uz 3,700 Web 3.0 decentralizētām lietojumprogrammām (dApps).
Ko jūs domājat par šo tēmu? Rakstiet mums un pastāstiet mums!
Atbildības noraidīšana
Visa mūsu vietnē esošā informācija tiek publicēta godprātīgi un tikai vispārējas informācijas nolūkos. Jebkura darbība, ko lasītājs veic, izmantojot mūsu vietnē atrodamo informāciju, ir stingri atkarīgs no viņa paša.
Avots: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/