ბოლო კვლევების თანახმად, Metamask კრიპტო საფულის მომხმარებლებს შეიძლება დაემუქროთ მთელი ციფრული აქტივების დაკარგვის ან თუნდაც ფიზიკური საფრთხეების რისკი. უსაფრთხოების ანალიტიკოსმა და კრიპტოგრაფმა ალექსანდრუ ლუპასკუმ, OMNIA პროტოკოლის თანადამფუძნებელმა, აღმოაჩინა ეს დაუცველობა პოპულარულ Web 3.0 საფულეში.
რამდენი ზიანის მიყენება შეიძლება?
ლუპასკუმ აღმოაჩინა, რომ მავნე მხარეს შეუძლია უბრალოდ შექმნას შეუცვლელი ნიშანი (NFT) და მიიღოს მომხმარებლის IP მისამართი ციფრული ხელოვნების უფასო საკუთრების გადაცემის გზით. ჰაკერს დასჭირდება 50 დოლარის დახარჯვა ვინმეს კონფიდენციალურობაზე თავდასხმისთვის. მან აღნიშნა, რომ „არ შეაფასოთ IP გაჟონვასთან დაკავშირებული რისკი“.
ლუპასკუმ დასძინა, რომ „თუ მავნე აქტორები მიიღებენ მეტ ინფორმაციას IP მისამართიდან (დაფიქრდით გეოლოკაციაზე, GSM ოპერატორზე და ა.შ.), მათ შეუძლიათ ის გადააქციონ ფიზიკურ რისკებად, როგორიცაა გატაცება“.
გარდა ამისა, კრიპტოგრაფის თქმით, ეს თავდასხმა შეიძლება იყოს უფრო „დამანგრეველი, ვიდრე სერვისის განაწილებული უარყოფის (DDoS) შეტევა. მარტივი შედარებისთვის, ეს შეტევა შეიძლება იყოს რვაჯერ უფრო ძლიერი ვიდრე Mirai ბოტნეტის შეტევა 2016 წლის ოქტომბერში, რომელმაც გაანადგურა Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb და მრავალი სხვა პოპულარული ვებსაიტი.
ალექსანდრუმ გამოაქვეყნა სრული ტური იმის შესახებ, თუ როგორ ხდება თავდასხმა, NFT-ის მოპოვებიდან დაწყებული, დაზარალებულისთვის გადაცემით, IP მისამართის მიღებამდე და ბოლოს, კონფიდენციალურობის დარღვევით ან თუნდაც მათი კრიპტო აქტივების მოპარვით. მან გამოსცადა ეს შეტევა iOS Metamask აპლიკაციის 3.7.0 ვერსიაზე, მაგრამ შესაძლოა იგივე იყოს Android-ის ვერსიისთვისაც. მან შექმნა NFT OpenSea-ზე, NFT-ის უმსხვილეს ბაზარზე და დაარედაქტირა ERC-1155 სტანდარტული ჭკვიანი კონტრაქტი. Remix Ethereum IDE.
გაასწორეს?
ლუპასკუს თქმით, მან აღმოაჩინა და მიმართა უსაფრთხოების ხარვეზს Metamask-ის გუნდს 14 წლის 2021 დეკემბერს, მაგრამ მათ უგულებელყვეს და უპასუხეს ამ პრობლემის მოგვარებას 2 წლის მეორე კვარტალში. მან თქვა: „ჩვენთვის მიუღებელია ასეთი დიდი მომხმარებლის დატოვება. ბაზა ამდენი ხნის განმავლობაში რისკის ქვეშ იყო, მით უმეტეს, თუ ეს წინასწარ იყო ცნობილი, როგორც ამბობენ. ”
მას შემდეგ რაც ეს კვლევა აჩვენეს საზოგადოებას, დენიელ ფინლეი, რომელიც არის Metamask-ის დამფუძნებელი, აღიარა, „ვფიქრობ, ეს საკითხი დიდი ხანია ფართოდ არის ცნობილი, ამიტომ არ ვფიქრობ, რომ გამჟღავნების ვადა ვრცელდება“.
ფინლეიმ დასძინა: ”ალექსი მართალია, რომ მოგვიწოდებს, რომ ადრე არ მივმართოთ მას. ახლა იწყება ამაზე მუშაობა. მადლობა შარვალში დარტყმისთვის და ბოდიში, რომ ეს გვჭირდებოდა.
არ უნდა დაგვავიწყდეს, რომ ConsenSys-მა, Metamask-ის მშობელმა კომპანიამ, შეაგროვა $200 მილიონი Metamask-ით 21 მილიონ თვიურ აქტიურ მომხმარებელს 2021 წლის ნოემბერში. ყველაზე პოპულარული კრიპტო საფულე ასევე გამოიყენება როგორც კარიბჭე 3,700 Web 3.0 დეცენტრალიზებული აპლიკაციისთვის (dApps).
რას ფიქრობთ ამ თემაზე? მოგვწერეთ და გვითხარით!
პასუხისმგებლობის შეზღუდვის განაცხადი
ჩვენს ვებგვერდზე განთავსებული ყველა ინფორმაცია კეთილსინდისიერად ქვეყნდება და მხოლოდ ზოგადი ინფორმაციის მისაღებად. ნებისმიერი ქმედება, რომელიც მკითხველმა განახორციელებს ჩვენს ვებგვერდზე განთავსებულ ინფორმაციასთან დაკავშირებით, მკაცრად ემუქრება მათ რისკს.
წყარო: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/