Trusted

Krytyczna luka w Metamask naraża dane 21 milionów użytkowników

2 mins
Aktualizacja Piotr Ratajski
Dołącz do Naszej Społeczności na Telegramie

W SKRÓCIE

  • Nie tak dawno odkryta luka w Metamask może narazić na niebezpieczeństwo setki milionów dolarów.
  • Kryptograf Alexandru Lupascu przetestował lukę i podzielił się wynikami z opinią publiczną.
  • Według założyciela Metamask, zespół naprawi błąd jak najszybciej.
  • promo

Według najnowszych badań, użytkownicy portfela kryptowalutowego Metamask mogą być narażeni na ryzyko utraty wszystkich swoich cyfrowych aktywów, a nawet na fizyczne zagrożenia. Analityk bezpieczeństwa i kryptograf Alexandru Lupascu, współzałożyciel protokołu OMNIA, znalazł tę lukę w popularnym portfelu Web 3.0.

Jak duże szkody można wyrządzić luka MetaMask?

Lupascu odkrył, że złośliwa strona może po prostu stworzyć niewymienialny token (NFT) i uzyskać adres IP użytkownika, przenosząc nieodpłatnie własność sztuki cyfrowej. Haker musiałby wydać zaledwie 50 dolarów, aby zaatakować czyjąś prywatność. Wspomniał, że “nie należy lekceważyć ryzyka związanego z wyciekami IP”.

Lupascu dodał, że:

Jeśli hakerzy czerpią więcej informacji z adresu IP (pomyśl o geolokalizacji, operatorze GSM itp.), mogą przekształcić je w fizyczne zagrożenia, takie jak porwanie.

Ponadto, według kryptografa, atak ten może być bardziej “niszczycielski niż atak DDoS (Distributed Denial of Service)”. Dla prostego porównania, atak ten może być osiem razy potężniejszy niż atak botnetu Mirai w październiku 2016 roku. A ten zdjął Twittera, Reddita, Spotify, GitHuba, Netflixa, Airbnb i wiele innych popularnych stron internetowych.

Alexandru opublikował kompletną wycieczkę po tym, jak przeprowadzany jest atak. Od wybicia NFT, przez przekazanie jej ofierze, po zdobycie adresu IP i wreszcie naruszenie prywatności lub nawet kradzież jej aktywów kryptowalutowych.

Atak ten przetestował na aplikacji Metamask na iOS w wersji 3.7.0. Ale może on być również taki sam dla wersji na Androida. Wybił NFT na OpenSea, największej giełdzie NFT, i edytował inteligentny kontrakt w standardzie ERC-1155 za pomocą Remix Ethereum IDE.

Czy udało się to naprawić?

Według Lupascu, znalazł i zaadresował błąd bezpieczeństwa do zespołu Metamask 14 grudnia 2021 roku. Wtedy zaniedbali to i odpowiedzieli, że naprawią ten problem do drugiego kwartału 2022 roku. Odpowiedział:

Dla nas jest to nie do przyjęcia, aby zostawić tak dużą bazę użytkowników zagrożonych tak długo, zwłaszcza jeśli było to znane wcześniej, jak mówią.

Po tym, jak te badania zostały pokazane publicznie, Daniel Finlay, który jest założycielem Metamask, przyznał:

Myślę, że ta kwestia była powszechnie znana od dłuższego czasu, więc nie sądzę, aby okres ujawnienia miał zastosowanie.

Następnie dodał:

Alex ma rację wzywając nas do tego, czym nie zajęliśmy się tym wcześniej. Teraz zaczynamy nad tym pracować. Dzięki za kopa w tyłek i przepraszam, że go potrzebowaliśmy.

Nie zapominając, ConsenSys, firma macierzysta Metamask, zebrała 200 milionów dolarów z Metamask. Jednocześnie przekraczając 21 milionów miesięcznych aktywnych użytkowników w listopadzie 2021 roku. Najpopularniejszy portfel kryptowalutowy jest również używany jako brama do 3 700 zdecentralizowanych aplikacji Web 3.0 (dApps).

Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
images.jpeg
Artykuł reklamowy
Artykuł reklamowy to uniwersalna nazwa autora dla wszystkich treści sponsorowanych dostarczanych przez partnerów BeInCrypto. W związku z tym artykuły te, tworzone przez strony trzecie w celach promocyjnych, mogą nie być zgodne z poglądami lub opiniami BeInCrypto. Chociaż dokładamy wszelkich starań, aby zweryfikować wiarygodność prezentowanych projektów, artykuły te mają charakter reklamowy i nie powinny być traktowane jako porady finansowe. Zachęcamy czytelników do przeprowadzania...
READ FULL BIO
Sponsorowane
Sponsorowane