MetaMask ostrzega swoich użytkowników przed rosnącym nowym oszustwem kryptowalutowym zwanym “zatruwaniem adresów”, jednak wiadomość ta przyszła dla niektórych nieco za późno.
Portfele kryptowalutowe mogą zawierać jedno lub więcej kont. Każde z nich posiada własny, wygenerowany kryptograficznie adres, wyjaśnia MetaMask w opublikowanym komunikacie. Te długie numery szesnastkowe są jednak celowo trudne do zapamiętania, wymagają częstego kopiowania i wklejania. Właśnie to próbuje wykorzystać zatruwanie adresów.
Jak adresy zostają “zatrute”
Zamiast skomplikowanego włamania, które narusza infrastrukturę protokołu, zatruwanie adresów polega raczej na psychologii człowieka i mechanice transakcji kryptowalutowych. Poniższy scenariusz jest tego przykładem.
W tym przypadku użytkownik A dokonuje regularnych transakcji z użytkownikiem B, o których atakujący C dowiaduje się za pomocą oprogramowania monitorującego transfery określonych tokenów, zazwyczaj stablecoinów. Atakujący użyje wtedy generatora adresów “vanity”, aby stworzyć adres hakera C, który ściśle odpowiada adresowi użytkownika B.
Atakujący C przeprowadza transakcję o wartości 0 USD między adresem użytkownika A a adresem hakera C. W ten sposób dochodzi do “zatrucia” adresu. Ponieważ adres hakera C staje się dla adresu użytkownika A bardziej zbuforowany niż adres użytkownika B. Ponieważ adres hakera C ma takie same pierwsze i ostatnie 4 cyfry jak adres użytkownika B, atakujący C ma nadzieję, że użytkownik A nieumyślnie użyje jego adresu, próbując dokonać transakcji z użytkownikiem B.
Oszustwa można łatwo uniknąć, sprawdzając dokładnie adresy przed dokonaniem transakcji, jakkolwiek jest to uciążliwe.
Błędy MetaMask
Niektórzy użytkownicy są rozczarowani opóźnieniem w ogłoszeniu tej wiadomości. “MetaMask po ponad 2 miesiącach wreszcie dokumentuje atak zatruwania adresów” – napisał na Twitterze Han Tuzun. Jego post zawierał link do artykułu dokładnie wyjaśniającego oszustwo, datowanego na początek grudnia.
Tuzun ostrzegł ponadto użytkowników przed generatorami adresów, które w ciągu kilku sekund mogą wygenerować niemal identyczne adresy. Użytkownik Twittera zwrócił się również do twórców infrastruktury o wystarczające ostrzeganie użytkowników w UI przed takimi atakami.
Ostatnie problemy MetaMask pojawiły się po tym, jak firma spotkała się z ostrym sprzeciwem opinii publicznej po aktualizacji zasad przechowywania danych. Pod koniec ubiegłego roku firma zaktualizowała swoją politykę prywatności. To doprowadziło do doniesień, że w wyniku tego procesu będą zbierane portfele użytkowników i adresy IP.
Szybko wywołało to gorącą reakcję społeczności kryptowalutowej. Spowodowało to, że 6 grudnia deweloper ConsenSys opublikował post, w którym próbował uspokoić swoich użytkowników.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
