Według najnowszych badań, użytkownicy portfela kryptowalutowego Metamask mogą być narażeni na ryzyko utraty wszystkich swoich cyfrowych aktywów, a nawet na fizyczne zagrożenia. Analityk bezpieczeństwa i kryptograf Alexandru Lupascu, współzałożyciel protokołu OMNIA, znalazł tę lukę w popularnym portfelu Web 3.0.
Jak duże szkody można wyrządzić luka MetaMask?
Lupascu odkrył, że złośliwa strona może po prostu stworzyć niewymienialny token (NFT) i uzyskać adres IP użytkownika, przenosząc nieodpłatnie własność sztuki cyfrowej. Haker musiałby wydać zaledwie 50 dolarów, aby zaatakować czyjąś prywatność. Wspomniał, że “nie należy lekceważyć ryzyka związanego z wyciekami IP”.
Lupascu dodał, że:
Jeśli hakerzy czerpią więcej informacji z adresu IP (pomyśl o geolokalizacji, operatorze GSM itp.), mogą przekształcić je w fizyczne zagrożenia, takie jak porwanie.
Ponadto, według kryptografa, atak ten może być bardziej “niszczycielski niż atak DDoS (Distributed Denial of Service)”. Dla prostego porównania, atak ten może być osiem razy potężniejszy niż atak botnetu Mirai w październiku 2016 roku. A ten zdjął Twittera, Reddita, Spotify, GitHuba, Netflixa, Airbnb i wiele innych popularnych stron internetowych.
Alexandru opublikował kompletną wycieczkę po tym, jak przeprowadzany jest atak. Od wybicia NFT, przez przekazanie jej ofierze, po zdobycie adresu IP i wreszcie naruszenie prywatności lub nawet kradzież jej aktywów kryptowalutowych.
Atak ten przetestował na aplikacji Metamask na iOS w wersji 3.7.0. Ale może on być również taki sam dla wersji na Androida. Wybił NFT na OpenSea, największej giełdzie NFT, i edytował inteligentny kontrakt w standardzie ERC-1155 za pomocą Remix Ethereum IDE.
Czy udało się to naprawić?
Według Lupascu, znalazł i zaadresował błąd bezpieczeństwa do zespołu Metamask 14 grudnia 2021 roku. Wtedy zaniedbali to i odpowiedzieli, że naprawią ten problem do drugiego kwartału 2022 roku. Odpowiedział:
Dla nas jest to nie do przyjęcia, aby zostawić tak dużą bazę użytkowników zagrożonych tak długo, zwłaszcza jeśli było to znane wcześniej, jak mówią.
Po tym, jak te badania zostały pokazane publicznie, Daniel Finlay, który jest założycielem Metamask, przyznał:
Myślę, że ta kwestia była powszechnie znana od dłuższego czasu, więc nie sądzę, aby okres ujawnienia miał zastosowanie.
Następnie dodał:
Alex ma rację wzywając nas do tego, czym nie zajęliśmy się tym wcześniej. Teraz zaczynamy nad tym pracować. Dzięki za kopa w tyłek i przepraszam, że go potrzebowaliśmy.
Nie zapominając, ConsenSys, firma macierzysta Metamask, zebrała 200 milionów dolarów z Metamask. Jednocześnie przekraczając 21 milionów miesięcznych aktywnych użytkowników w listopadzie 2021 roku. Najpopularniejszy portfel kryptowalutowy jest również używany jako brama do 3 700 zdecentralizowanych aplikacji Web 3.0 (dApps).
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.