MetaMask 知道它有一個嚴重的隱私漏洞，但沒有修復它

Alexandru Lupascu 表示，在行動裝置上存取該應用程式的 MetaMask 用戶面臨 IP 位址暴露的風險。

MetaMask 行動應用程式可能會暴露使用者的隱私

密碼學家警告稱，MetaMask 用戶可能會將自己的隱私置於危險之中。

隱私節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 表示，他在 ConsenSys 流行的 Web3 錢包中發現了一個嚴重漏洞，該漏洞為駭客提供了存取用戶 IP 位址的方法，從而造成隱私風險。 IP 位址是指派給連接到網路的裝置的唯一全域識別碼。 由於用戶可以將加密資產儲存在 MetaMask 錢包上，因此 IP 位址漏洞是一個主要問題，因為它可能為駭客提供一種方法來識別用戶存取錢包的位置。

Lupascu 發表了一篇博文，解釋瞭如何透過鑄造 NFT 收藏品並將其空投到手機上使用的 MetaMask 連接的以太坊地址來利用該漏洞。

NFT 是數位資產，表示數位藝術、音樂和迷因等內容的所有權。 它們提供了一種標記內容的方法，但通常不會儲存實際內容。 由於在以太坊等區塊鏈上儲存影像資料可能會很昂貴，因此 NFT 包含指向資料的統一資源定位器。 NFT 的內容通常儲存在 IPFS 等去中心化儲存網路上或遠端集中式雲端伺服器上。

預設情況下，MetaMask 行動應用程式使用圖像資料的 URL 函數呼叫來顯示儲存在位址中的 NFT。 該數據託管在遠端伺服器上。 該過程無需徵得用戶同意即可完成，以便顯示其以太坊錢包中包含哪些 NFT。

在此取得過程中，所有處理影像資料傳輸的伺服器閘道都會接收使用者的IP資訊。 一般來說，運行影像資料伺服器的專案可以確保資料的安全。

Lupascu 在調查中確定惡意實體可以找到 MetaMask 使用者的 IP 資料並利用這些資訊執行有針對性的攻擊。 Lupascu 在他的部落格文章中解釋：

「如果惡意行為者只知道你的區塊鏈位址，他就可以鑄造一個 NFT，其 URL 指向他的伺服器，並將 NFT 的所有權轉移到你的位址。 因此，當你的加密錢包從伺服器獲取遠端圖像時，它會損害你的隱私。”

Lupascu 透過在 OpenSea 上基於 ERC-1155 標準鑄造 NFT 來測試該漏洞。 然後，他使用智能合約編輯器更改與 NFT 連結的原始 URL，使其指向他控制下的新伺服器。 然後，Lupascu 將 NFT 傳送到以太坊地址。 當他透過 MetaMask 行動應用程式存取該位址時，他的 IP 位址出現在他控制的伺服器中。 他說執行這次攻擊花費了大約 50 美元。

Lupascu 告訴 Crypto Briefing，他於 2021 年 3 月中旬向 MetaMask 團隊通報了這個問題，這意味著 Web2022 錢包已經意識到該問題至少一個月了。 MetaMask 團隊承諾在 XNUMX 年第二季之前發布補丁，考慮到問題的嚴重性，Lupascu 認為這個時間「不可接受」。

「亞歷克斯指責我們沒有盡快解決這個問題，這是正確的。 現在就開始著手吧。 謝謝你的幫助，很抱歉我們需要它。”

芬利有 也提出了 該錢包「預設情況下只能載入 IPFS 類型的連結」。 此外，MetaMask 用戶必須明確同意才能取得儲存在第三方伺服器上的 NFT 資料。

同時，Lupascu 表示，他認為以太坊用戶如果收到空投的 NFT 應該保持警惕，並建議僅透過 OpenSea 存取它們。 「在這個問題在行動應用程式上解決之前，請使用 OpenSea 平台與任何 Web3 相容的錢包來探索您的收藏品。 善意地提醒大家，鏈下隱私非常重要——不要忽視它，」他說。

近幾個月來，NFT 收藏者因攻擊、駭客和詐騙而損失了價值數百萬美元的數位資產。 許多受影響的用戶在 MetaMask 錢包上儲存了來自 Bored Ape Yacht Club 的有價值的 NFT 和其他受歡迎的收藏品，並遭受了網路釣魚攻擊。 由於 MetaMask 是一個熱錢包，竊賊一旦掌握了用戶的私鑰，就可以相對輕鬆地盜取資金。 由於熱錢包的私鑰可能會透過網路釣魚和惡意軟體攻擊而受到損害，因此人們普遍認為熱錢包的安全性低於硬體錢包等冷儲存選項，後者需要存取實體設備才能存取資金。

MetaMask 是最受歡迎的 Web3 錢包，用於存取以太坊和其他 EVM 相容的區塊鏈網路。 根據 ConsenSys 的新聞稿，截至 21 年 2021 月，每月活躍用戶超過 XNUMX 萬。

披露：在撰寫本文時，本文作者擁有 ETH 和其他加密貨幣。