Према недавним истраживањима, корисници Метамаск крипто новчаника могли би бити у опасности да изгубе сву своју дигиталну имовину или чак физичке претње. Безбедносни аналитичар и криптограф Александру Лупаску, суоснивач ОМНИА протокола, пронашао је ову рањивост у популарном Веб 3.0 новчанику.
Колико штете се може учинити?
Лупасцу је открио да злонамерна страна може једноставно да креира не-заменљиви токен (НФТ) и добије ИП адресу корисника тако што ће бесплатно пренети власништво над дигиталном уметношћу. Хакер би морао да потроши само 50 долара да нападне нечију приватност. Споменуо је: „Не потцењујте ризик повезан са цурењем ИП-а.
Лупаску је додао да „ако злонамерни актери извуку више информација са ИП адресе (мислим на геолокацију, ГСМ оператера, итд.), они то могу претворити у физичке ризике, као што је киднаповање.
Штавише, овај напад може бити „разорнији од напада дистрибуираног ускраћивања услуге (ДДоС)“, каже криптограф. За једноставно поређење, овај напад може бити осам пута снажнији од напада Мираи ботнет-а у октобру 2016. који је оборио Твиттер, Реддит, Спотифи, ГитХуб, Нетфлик, Аирбнб и многе друге популарне веб странице.
Александру је објавио комплетан обилазак начина на који се врши напад, од ковања НФТ-а преко његовог преноса на жртву до добијања ИП адресе и на крају, угрожавања приватности или чак крађе њихове крипто имовине. Тестирао је овај напад на иОС апликацији Метамаск верзије 3.7.0, али исто би могло бити и на Андроид верзији. Ковао је НФТ на ОпенСеа-у, највећем НФТ тржишту, и уређивао стандардни паметни уговор ЕРЦ-1155 са Едит Етхереум ИДЕ.
Јесу ли то поправили?
Према Лупаскуу, он је пронашао и обратио се тиму Метамаск-а безбедносни пропуст 14. децембра 2021, али су они занемарили и одговорили да реше овај проблем до К2 2022. Он је рекао: „За нас је неприхватљиво да оставимо тако великог корисника база толико дуго у опасности, поготово ако се то унапред знало, како кажу.”
Након што је ово истраживање приказано јавности, Даниел Финлаи, који је оснивач Метамаска, признао, „Мислим да је ово питање већ дуго познато, тако да мислим да се период откривања не примењује.”
Финлеј је додао: „Алекс је у праву што нас прозива што се нисмо раније позабавили. Почиње рад на томе сада. Хвала на ударцу у панталоне, и извини што нам је био потребан.
Да не заборавимо, ЦонсенСис, Метамаск-ова матична компанија, прикупила је 200 милиона долара, а Метамаск је премашио 21 милион активних корисника месечно у новембру 2021. Најпопуларнији крипто новчаник се такође користи као капија за 3,700 Веб 3.0 децентрализованих апликација (дАппс).
Шта мислите о овој теми? Пишите нам и реците нам!
Одрицање од одговорности
Све информације садржане на нашој веб страници објављују се у доброј намери и само у опште информације. Свака радња коју читалац предузме у вези са информацијама које се налазе на нашој веб локацији стриктно је на сопствени ризик.
Извор: хттпс://беинцрипто.цом/цритицал-вулнерабилити-фоунд-тхат-цоулд-пут-21м-метамаск-усерс-дата-ат-риск/