Sipas hulumtimeve të fundit, përdoruesit e portofolit kripto Metamask mund të rrezikojnë të humbasin të gjitha asetet e tyre dixhitale apo edhe kërcënime fizike. Analisti i sigurisë dhe kriptografi Alexandru Lupascu, bashkëthemeluesi i protokollit OMNIA, e gjeti këtë dobësi në portofolin e njohur Web 3.0.
Sa dëm mund të bëhet?
Lupascu zbuloi se një palë me qëllim të keq mund të krijojë thjesht një token të pandryshueshëm (NFT) dhe të marrë adresën IP të një përdoruesi duke transferuar pronësinë falas të artit dixhital. Një haker duhet të shpenzojë deri në 50 dollarë për të sulmuar privatësinë e dikujt. Ai përmendi, "Mos e nënvlerësoni rrezikun që lidhet me rrjedhjet e IP."
Lupascu shtoi se “nëse aktorët me qëllim të keq nxjerrin më shumë informacion nga adresa IP (mendoni vendndodhjen gjeografike, operatorin GSM, etj.), Ata mund ta kthejnë atë në rreziqe fizike, si rrëmbimi”.
Për më tepër, ky sulm mund të jetë më "shkatërrues se një sulm i mohimit të shërbimit të shpërndarë (DDoS)", sipas kriptografit. Për një krahasim të thjeshtë, ky sulm mund të jetë tetë herë më i fuqishëm se sulmi i botnetit Mirai në tetor 2016 që shkatërroi Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb dhe shumë faqe të tjera të njohura.
Alexandru publikoi një turne të plotë se si kryhet sulmi, nga krijimi i një NFT deri tek transferimi i tij tek viktima te marrja e adresës IP dhe së fundi, komprometimi i privatësisë apo edhe vjedhja e aseteve të tyre kripto. Ai e testoi këtë sulm në versionin 3.7.0 të aplikacionit iOS Metamask, por mund të jetë i njëjtë edhe për versionin Android. Ai hartoi një NFT në OpenSea, tregu më i madh NFT, dhe redaktoi kontratën standarde të zgjuar ERC-1155 me Remix Ethereum IDE.
A e rregulluan?
Sipas Lupascu-t, ai gjeti dhe ia adresoi defektin e sigurisë ekipit të Metamask më 14 dhjetor 2021, por ata e neglizhuan dhe u përgjigjën për ta rregulluar këtë problem deri në tremujorin e dytë 2. Ai tha: “Për ne është e papranueshme të lëmë një përdorues kaq të madh. bazë në rrezik për kaq shumë kohë, veçanërisht nëse kjo dihej që më parë, siç thonë ata.”
Pasi ky hulumtim u shfaq për publikun, Daniel Finlay, i cili është themeluesi i Metamask, pranuar, "Unë mendoj se kjo çështje ka qenë e njohur gjerësisht për një kohë të gjatë, kështu që nuk mendoj se ka një periudhë zbulimi."
Finlay shtoi, “Alex ka të drejtë që na thërret për të mos e adresuar atë më shpejt. Duke filluar punën për të tani. Faleminderit për goditjen në pantallona dhe na vjen keq që na duhej.”
Për të mos harruar, ConsenSys, kompania mëmë e Metamask, mblodhi 200 milionë dollarë me Metamask duke tejkaluar 21 milionë përdorues aktivë mujorë në nëntor 2021. Portofoli më i popullarizuar i kriptove përdoret gjithashtu si një portë për 3,700 aplikacione të decentralizuara të Web 3.0 (dApps).
Çfarë mendoni për këtë temë? Na shkruani dhe na tregoni!
Mohim përgjegjësie
Të gjitha informacionet që përmbahen në faqen tonë të internetit publikohen me mirëbesim dhe vetëm për qëllime të informacionit të përgjithshëm. Çdo veprim që lexuesi ndërmerr mbi informacionin e gjetur në faqen tonë të internetit është në rrezik të vetë.
Burimi: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/