Понедельник, 8 июля, 2024

Вогон сегодня

Избранные новости из Галактики

Вогон сегодня
Криптовалюты

Обнаружена критическая уязвимость, которая может поставить под угрозу пользовательские данные 21 миллиона метамасок

Вольфрамовый Куб

Обнаружена критическая уязвимость, которая может поставить под угрозу пользовательские данные 21 миллиона метамасок

Согласно недавнему исследованию, пользователи криптокошелька Metamask могут потерять все свои цифровые активы или даже подвергнуться физической угрозе. Аналитик безопасности и криптограф Александру Лупаску, соучредитель протокола OMNIA, обнаружил эту уязвимость в популярном кошельке Web 3.0.

Насколько плохо это можно сделать?

Лупаску обнаружил, что злоумышленник может просто создать невзаимозаменяемый токен (NFT) и получить IP-адрес пользователя, бесплатно передав право собственности на цифровое искусство. Хакеру придется потратить минимум 50 долларов, чтобы взломать чью-то частную жизнь. Он сказал: «Не стоит недооценивать риск, связанный с утечкой IP».

Лупаску добавил, что «если злоумышленники получат больше информации с IP-адреса (геолокация, оператор GSM и т. д.), они могут превратить ее в физические риски, такие как похищение».

Кроме того, по словам криптографа, эта атака может быть более «разрушительной, чем атака распределенного отказа в обслуживании (DDoS)». Для простого сравнения: эта атака может быть в восемь раз мощнее, чем атака ботнета Mirai в октябре 2016 года, которая уничтожила Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb и многие другие популярные веб-сайты.

Александру опубликовал исчерпывающий обзор того, как осуществляется атака, от создания NFT до передачи его жертве для получения IP-адреса и, в конечном итоге, нарушения их конфиденциальности или даже кражи их криптоактивов. Он протестировал эту атаку на приложении Metamask для iOS версии 3.7.0, но она может быть такой же и для версии для Android. Он придумал NFT на OpenSea, крупнейшем рынке NFT, и модифицировал смарт-контракт стандарта ERC-1155 с помощью Remix Ethereum IDE .

Они это исправили?

По словам Лупаску, он обнаружил уязвимость в системе безопасности и передал ее команде Metamask 14 декабря 2021 года, но они проигнорировали ее и ответили, чтобы исправить эту проблему ко второму кварталу 2022 года. Он сказал: «Для нас неприемлемо оставлять такую ​​большую пользовательскую базу. …в опасности так долго, особенно если знать заранее, как говорится".

После того, как это исследование было представлено публике, Дэниел Финли, основатель Metamask, признался : «Я думаю, что эта проблема давно широко известна, поэтому я не думаю, что применяется период раскрытия информации».

Финли добавил: «Алекс правильно назвал нас за то, что мы не имели с ним дела раньше. Сейчас я начинаю над этим работать. Спасибо за пинок под зад, и мне жаль, что он нам был нужен.

Не стоит забывать, что ConsenSys, материнская компания Metamask, привлекла 200 миллионов долларов, и в ноябре 2021 года Metamask превысила 21 миллион активных пользователей в месяц. Самый популярный крипто-кошелек также используется в качестве шлюза для 3700 децентрализованных приложений Web 3.0 (dApps).

Что вы думаете об этой теме? Напишите нам и расскажите !

Обнаруженная посткритическая уязвимость, которая может поставить под угрозу 21 миллион пользовательских данных метамаски, впервые появилась на BeInCrypto .