根據最近的研究,Metamask 加密錢包用戶可能面臨失去所有數字資產甚至人身威脅的風險。 OMNIA 協議聯合創始人、安全分析師兼密碼學家 Alexandru Lupascu 在流行的 Web 3.0 錢包中發現了此漏洞。
能造成多大的傷害?
Lupascu 發現,惡意方可以簡單地創建不可替代代幣 (NFT),並通過轉讓數字藝術的自由所有權來獲取用戶的 IP 地址。 黑客只需花費低至 50 美元即可攻擊某人的隱私。 他提到,“不要低估與知識產權洩露相關的風險。”
Lupascu 補充道,“如果惡意行為者從 IP 地址獲取更多信息(例如地理位置、GSM 運營商等),他們就可以將其轉化為人身風險,例如綁架。”
此外,密碼學家表示,這種攻擊“比分佈式拒絕服務 (DDoS) 攻擊更具破壞性”。 簡單比較一下,這次攻擊的威力可能是 2016 年 XNUMX 月 Mirai 殭屍網絡攻擊的八倍,該攻擊摧毀了 Twitter、Reddit、Spotify、GitHub、Netflix、Airbnb 和許多更受歡迎的網站。
Alexandru 發布了完整的攻擊過程介紹,從鑄造 NFT 到將其轉移給受害者,再到獲取 IP 地址,最後,損害隱私甚至竊取他們的加密資產。 他在 iOS Metamask 應用程序版本 3.7.0 上測試了此攻擊,但 Android 版本也可能是相同的。 他在最大的 NFT 市場 OpenSea 上鑄造了 NFT,並與 NFT 編輯了 ERC-1155 標準智能合約。 混音 以太坊 IDE。
他們修好了嗎?
Lupascu 表示,他於 14 年 2021 月 2 日向 Metamask 團隊發現並解決了該安全漏洞,但他們忽視了這一問題,並在 2022 年第二季度之前回復修復了該問題。他說,“對我們來說,留下如此大的用戶是不可接受的”基地長期處於危險之中,尤其是如他們所說,如果事先知道這一點的話。”
在這項研究向公眾展示後,Metamask 的創始人 Daniel Finlay 表示: 承認,“我認為這個問題長期以來一直廣為人知,所以我認為不適用披露期限。”
芬利補充道:“亞歷克斯批評我們沒有盡快解決這個問題,這是正確的。 現在就開始著手吧。 謝謝你的幫助,很抱歉我們需要它。”
不要忘記,Metamask 的母公司 ConsenSys 籌集了 200 億美元,Metamask 的月活躍用戶數量在 21 年 2021 月超過了 3,700 萬。這款最受歡迎的加密錢包也被用作 3.0 個 Web XNUMX 去中心化應用程序 (dApp) 的網關。
你怎麼看這個話題? 寫信告訴我們!
免責聲明
我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。
來源:https://beincrypto.com/ritic-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/