Prema nedavnim istraživanjima, korisnici Metamask kripto novčanika mogli bi biti u opasnosti od gubitka sve svoje digitalne imovine ili čak fizičkih prijetnji. Sigurnosni analitičar i kriptograf Alexandru Lupascu, suosnivač OMNIA protokola, pronašao je ovu ranjivost u popularnom Web 3.0 novčaniku.
Koliko se štete može učiniti?
Lupascu je otkrio da zlonamjerna strana može jednostavno stvoriti non-fungible token (NFT) i dobiti IP adresu korisnika tako što će besplatno prenijeti vlasništvo nad digitalnom umjetnošću. Haker bi trebao potrošiti samo 50 dolara da napadne nečiju privatnost. Spomenuo je: "Ne podcjenjujte rizik povezan s curenjem IP-a."
Lupascu je dodao da "ako zlonamjerni akteri izvuku više informacija iz IP adrese (mislimo na geolokaciju, GSM operatera, itd.), mogu to pretvoriti u fizičke rizike, poput otmice."
Nadalje, ovaj napad može biti "razorniji od napada distribuiranog uskraćivanja usluge (DDoS)", kaže kriptograf. Za jednostavnu usporedbu, ovaj napad može biti osam puta snažniji od napada Mirai botnetom u listopadu 2016. koji je uništio Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb i mnoge druge popularne web stranice.
Alexandru je objavio potpuni pregled načina na koji se napad izvodi, od kovanja NFT-a do njegovog prijenosa na žrtvu do dobivanja IP adrese i na kraju, ugrožavanja privatnosti ili čak krađe njihove kripto imovine. Testirao je ovaj napad na iOS aplikaciji Metamask verzije 3.7.0, ali isto bi moglo biti i na verziji Androida. Kovao je NFT na OpenSea, najvećem NFT tržištu, i uredio standardni pametni ugovor ERC-1155 s Remix Ethereum IDE.
Jesu li to popravili?
Prema Lupascuu, 14. prosinca 2021. pronašao je sigurnosni propust i obratio ga timu Metamaska, ali su oni zanemarili i odgovorili da riješe ovaj problem do drugog tromjesečja 2. Rekao je: „Za nas je neprihvatljivo ostaviti tako velikog korisnika baza tako dugo u opasnosti, pogotovo ako se to znalo unaprijed, kako kažu.”
Nakon što je ovo istraživanje prikazano javnosti, Daniel Finlay, koji je osnivač Metamaska, priznao, "Mislim da je ovaj problem nadaleko poznat već duže vrijeme, tako da mislim da se razdoblje otkrivanja ne primjenjuje."
Finlay je dodao: “Alex je u pravu što nas je prozvao jer se to nismo ranije pozabavili. Počinje rad na tome sada. Hvala na udarcu u hlače i žao nam je što nam je trebao.”
Da ne zaboravimo, ConsenSys, Metamaskova matična tvrtka, prikupila je 200 milijuna dolara, a Metamask je u studenom 21. premašio 2021 milijun mjesečno aktivnih korisnika. Najpopularniji kripto novčanik također se koristi kao pristupnik za 3,700 Web 3.0 decentraliziranih aplikacija (dApps).
Što mislite o ovoj temi? Pišite nam i recite nam!
Izjava o odricanju od odgovornosti
Svi podaci sadržani na našoj web stranici objavljeni su u dobroj namjeri i samo u opće informativne svrhe. Svaka radnja koju čitatelj poduzme na informacijama koje se nalaze na našoj web stranici strogo je na vlastiti rizik.
Izvor: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/