طبق تحقیقات اخیر، کاربران کیف پول کریپتو Metamask ممکن است در خطر از دست دادن تمام دارایی های دیجیتال یا حتی تهدیدات فیزیکی خود باشند. الکساندر لوپاسکو، تحلیلگر امنیتی و رمزنگار، یکی از بنیانگذاران پروتکل OMNIA، این آسیب پذیری را در کیف پول محبوب Web 3.0 یافت.
چقدر می توان آسیب زد؟
لوپاسکو دریافت که یک شخص مخرب به سادگی می تواند یک توکن غیر قابل تعویض (NFT) ایجاد کند و با انتقال مالکیت رایگان هنر دیجیتال، آدرس IP کاربر را دریافت کند. یک هکر برای حمله به حریم خصوصی افراد باید حداقل 50 دلار هزینه کند. وی خاطرنشان کرد: "خطر مرتبط با نشت IP را دست کم نگیرید."
لوپاسکو افزود: "اگر عوامل مخرب اطلاعات بیشتری از آدرس IP بدست آورند (به موقعیت جغرافیایی، حامل GSM و غیره فکر کنید)، می توانند آن را به خطرات فیزیکی مانند آدم ربایی تبدیل کنند.
علاوه بر این، طبق گفته رمزنگار، این حمله میتواند «ویرانگرتر از حمله انکار سرویس توزیعشده (DDoS)» باشد. برای یک مقایسه ساده، این حمله می تواند هشت برابر قدرتمندتر از حمله بات نت Mirai در اکتبر 2016 باشد که توییتر، ردیت، اسپاتیفای، گیت هاب، نتفلیکس، Airbnb و بسیاری از وب سایت های محبوب دیگر را از بین برد.
الکساندرو یک تور کامل از نحوه انجام حمله منتشر کرد، از برش یک NFT گرفته تا انتقال آن به قربانی گرفته تا دریافت آدرس IP و در نهایت، به خطر انداختن حریم خصوصی یا حتی سرقت دارایی های رمزنگاری آنها. او این حمله را روی برنامه iOS Metamask نسخه 3.7.0 آزمایش کرد، اما ممکن است برای نسخه اندروید نیز همینطور باشد. او یک NFT در OpenSea، بزرگترین بازار NFT، منعقد کرد و قرارداد هوشمند استاندارد ERC-1155 را با این شرکت ویرایش کرد. ریمیکس Ethereum IDE.
درستش کردند؟
به گفته لوپاسکو، او نقص امنیتی را در 14 دسامبر 2021 پیدا کرد و به تیم متامسک پاسخ داد، اما آنها غفلت کردند و به رفع این مشکل تا سه ماهه دوم 2 پاسخ دادند. او گفت: "برای ما، ترک چنین کاربر بزرگی غیرقابل قبول است. پایگاهی برای مدت طولانی در معرض خطر است، به خصوص اگر همانطور که می گویند این موضوع از قبل شناخته شده بود.
پس از اینکه این تحقیقات به عموم مردم نشان داده شد، دانیل فینلی، بنیانگذار متامسک، پذیرفته، "من فکر می کنم این موضوع برای مدت طولانی به طور گسترده شناخته شده است، بنابراین فکر نمی کنم دوره افشاگری اعمال شود."
فینلی اضافه کرد: «الکس حق دارد از ما درخواست کند که زودتر به آن رسیدگی نکنیم. اکنون کار روی آن را شروع کنید. برای ضربه زدن به شلوار متشکرم و متاسفم که به آن نیاز داشتیم.»
فراموش نکنید، ConsenSys، شرکت مادر Metamask، با Metamask 200 میلیون دلار جمع آوری کرد و Metamask از 21 میلیون کاربر فعال ماهانه در نوامبر 2021 گذشت. محبوب ترین کیف پول رمزنگاری همچنین به عنوان دروازه ای برای 3,700 برنامه غیرمتمرکز Web 3.0 (dApps) استفاده می شود.
نظر شما در مورد این موضوع چیست؟ برای ما بنویسید و به ما بگویید!
سلب مسئولیت
تمام اطلاعات موجود در وب سایت ما با حسن نیت و فقط برای اهداف عمومی منتشر می شود. هر اقدامی که خواننده نسبت به اطلاعات موجود در وب سایت ما انجام می دهد ، کاملاً به خطر خود آنها است.
منبع: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/