Volgens recent onderzoek lopen gebruikers van Metamask crypto-wallets het risico al hun digitale activa of zelfs fysieke bedreigingen te verliezen. Beveiligingsanalist en cryptograaf Alexandru Lupascu, de mede-oprichter van het OMNIA-protocol, vond deze kwetsbaarheid in de populaire Web 3.0-portemonnee.
Hoeveel kwaad kan er worden aangericht?
Lupascu ontdekte dat een kwaadwillende partij eenvoudig een non-fungible token (NFT) kan maken en het IP-adres van een gebruiker kan krijgen door het gratis eigendom van de digitale kunst over te dragen. Een hacker zou slechts $ 50 moeten uitgeven om iemands privacy aan te vallen. Hij zei: "Onderschat het risico van IP-lekken niet."
Lupascu voegde eraan toe dat "als kwaadwillende actoren meer informatie uit het IP-adres halen (denk aan geolocatie, GSM-provider, enz.), Ze dit kunnen omzetten in fysieke risico's, zoals ontvoering."
Bovendien kan deze aanval volgens de cryptograaf "verwoestender zijn dan een Distributed Denial of Service (DDoS)-aanval". Voor een eenvoudige vergelijking: deze aanval kan acht keer krachtiger zijn dan de Mirai-botnetaanval in oktober 2016 die Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb en nog veel meer populaire websites neerhaalde.
Alexandru publiceerde een complete rondleiding over hoe de aanval wordt uitgevoerd, van het minten van een NFT tot het overbrengen ervan naar het slachtoffer tot het verkrijgen van het IP-adres en ten slotte, het in gevaar brengen van de privacy of zelfs het stelen van hun crypto-activa. Hij testte deze aanval op de iOS Metamask-app versie 3.7.0, maar het zou ook zo kunnen zijn voor de Android-versie. Hij sloeg een NFT op OpenSea, de grootste NFT-marktplaats, en bewerkte het ERC-1155 standaard slimme contract met de Remix Ethereum-IDE.
Hebben ze het gerepareerd?
Volgens Lupascu heeft hij de beveiligingsfout gevonden en geadresseerd aan het Metamask-team op 14 december 2021, maar ze negeerden en reageerden om dit probleem voor het tweede kwartaal van 2 op te lossen. Hij zei: "Voor ons is het onaanvaardbaar om zo'n grote gebruiker achter te laten basis zo lang in gevaar is geweest, zeker als dit van tevoren bekend was, zoals ze zeggen.”
Nadat dit onderzoek aan het publiek was getoond, heeft Daniel Finlay, de oprichter van Metamask, toegegeven"Ik denk dat dit probleem al heel lang algemeen bekend is, dus ik denk niet dat er een meldingstermijn van toepassing is."
Finlay voegde toe: "Alex heeft gelijk als hij ons belt omdat we het niet eerder hebben aangepakt. Begin er nu mee te werken. Bedankt voor de schop in de broek, en sorry dat we het nodig hadden.”
Niet te vergeten, ConsenSys, het moederbedrijf van Metamask, haalde $ 200 miljoen op, waarbij Metamask in november 21 meer dan 2021 miljoen maandelijkse actieve gebruikers overtrof. De populairste crypto-portemonnee wordt ook gebruikt als toegangspoort tot 3,700 gedecentraliseerde Web 3.0-applicaties (dApps).
Wat vind je van dit onderwerp? Schrijf ons en vertel het ons!
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/