Prema nedavnim istraživanjima, korisnici Metamask kripto novčanika mogli bi biti u opasnosti od gubitka sve svoje digitalne imovine ili čak fizičkih prijetnji. Sigurnosni analitičar i kriptograf Alexandru Lupascu, suosnivač OMNIA protokola, pronašao je ovu ranjivost u popularnom Web 3.0 novčaniku.
Koliko štete se može učiniti?
Lupascu je otkrio da zlonamjerna strana može jednostavno kreirati non-fungible token (NFT) i dobiti IP adresu korisnika tako što će besplatno prenijeti vlasništvo nad digitalnom umjetnošću. Haker bi trebao potrošiti samo 50 dolara da napadne nečiju privatnost. Spomenuo je: “Ne podcjenjujte rizik povezan s curenjem IP-a.”
Lupascu je dodao da "ako zlonamjerni akteri izvuku više informacija iz IP adrese (mislim na geolokaciju, GSM operatera, itd.), oni to mogu pretvoriti u fizičke rizike, poput kidnapovanja."
Štaviše, ovaj napad može biti „razorniji od napada distribuiranog uskraćivanja usluge (DDoS)“, kaže kriptograf. Za jednostavno poređenje, ovaj napad može biti osam puta snažniji od napada Mirai botnet-a u oktobru 2016. koji je uništio Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb i mnoge druge popularne web stranice.
Alexandru je objavio kompletan obilazak načina na koji se vrši napad, od kovanja NFT-a preko njegovog prijenosa na žrtvu do dobijanja IP adrese i na kraju, ugrožavanja privatnosti ili čak krađe njihove kripto imovine. Testirao je ovaj napad na iOS aplikaciji Metamask verzije 3.7.0, ali isto bi moglo biti i na Android verziji. Kovao je NFT na OpenSea, najvećem NFT tržištu, i uredio standardni pametni ugovor ERC-1155 sa remix Ethereum IDE.
Jesu li to popravili?
Prema Lupascu-u, pronašao je i obratio se timu Metamask-a sigurnosni propust 14. decembra 2021., ali su oni zanemarili i odgovorili da riješe ovaj problem do Q2 2022. On je rekao: „Za nas je neprihvatljivo ostaviti tako velikog korisnika baza tako dugo u opasnosti, pogotovo ako se to znalo unaprijed, kako kažu.”
Nakon što je ovo istraživanje prikazano javnosti, Daniel Finlay, koji je osnivač Metamaska, priznao, „Mislim da je ovo pitanje već dugo poznato, tako da mislim da se period otkrivanja ne primjenjuje.”
Finlay je dodao: “Alex je u pravu što nas proziva jer se nismo ranije pozabavili. Počinje rad na tome sada. Hvala na udarcu u pantalone, i izvini što nam je trebao.”
Da ne zaboravimo, ConsenSys, Metamask-ova matična kompanija, prikupila je 200 miliona dolara, a Metamask je u novembru 21. premašio 2021 milion mjesečno aktivnih korisnika. Najpopularniji kripto novčanik se također koristi kao pristupnik za 3,700 Web 3.0 decentralizovanih aplikacija (dApps).
Šta mislite o ovoj temi? Pišite nam i recite nam!
odricanje
Sve informacije sadržane na našoj web stranici objavljene su u dobroj namjeri i samo u opće informativne svrhe. Svaka radnja koju čitatelj poduzme na informacijama koje se nalaze na našoj web stranici strogo je na vlastiti rizik.
Izvor: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/