טק

נמצאה פגיעות קריטית שעלולה לסכן 21 מיליון משתמשי Metamask

01/22/2022
חדשות Ethereum של ביטקוין

על פי מחקר עדכני, משתמשי ארנק קריפטו של Metamask עלולים להיות בסיכון לאבד את כל הנכסים הדיגיטליים שלהם או אפילו איומים פיזיים. מנתח האבטחה והקריפטוגרף אלכסנדרו לופאסקו, המייסד השותף של פרוטוקול OMNIA, מצא את הפגיעות הזו בארנק ה-Web 3.0 הפופולרי.

כמה נזק אפשר לעשות?

Lupascu מצא שצד זדוני יכול פשוט ליצור אסימון שאינו ניתן לשינוי (NFT) ולקבל כתובת IP של משתמש על ידי העברת בעלות חופשית על האמנות הדיגיטלית. האקר יצטרך להוציא עד 50 דולר כדי לתקוף את הפרטיות של מישהו. הוא הזכיר, "אל תזלזל בסיכון הכרוך בדליפות IP."

לופאסקו הוסיף כי "אם שחקנים זדוניים שואבים יותר מידע מכתובת ה-IP (תחשבו על מיקום גיאוגרפי, ספק GSM וכו'), הם יכולים להפוך אותו לסיכונים פיזיים, כמו חטיפה".

תמונה

יתר על כן, מתקפה זו עלולה להיות "הרסנית יותר מהתקפת מניעת שירות מבוזרת (DDoS)", על פי הקריפטוגרף. לשם השוואה פשוטה, ההתקפה הזו יכולה להיות חזקה פי שמונה מהתקפת הבוטנט של Mirai באוקטובר 2016 שהפילה את טוויטר, Reddit, Spotify, GitHub, Netflix, Airbnb ועוד אתרים פופולריים רבים.

אלכסנדרו פרסם סיור שלם כיצד מתבצעת המתקפה, החל מהטבעת NFT ועד העברתו לקורבן ועד קבלת כתובת ה-IP ולבסוף, פגיעה בפרטיות או אפילו גניבת נכסי הקריפטו שלהם. הוא בדק את ההתקפה הזו על אפליקציית Metamask של iOS בגרסה 3.7.0, אבל היא עשויה להיות זהה גם עבור גרסת אנדרואיד. הוא טבע NFT ב-OpenSea, שוק ה-NFT הגדול ביותר, וערך את החוזה החכם הסטנדרטי ERC-1155 עם Remix Ethereum IDE.

האם תיקנו את זה?

לדברי לופאסקו, הוא מצא וטיפל את ליקוי האבטחה לצוות Metamask ב-14 בדצמבר 2021, אך הם התרשלו והגיבו לתקן את הבעיה עד לרבעון השני של 2. לדבריו, "עבורנו, זה לא מקובל להשאיר משתמש כה גדול. בסיס בסיכון כל כך הרבה זמן, במיוחד אם זה היה ידוע מראש, כמו שאומרים".

לאחר שהמחקר הזה הוצג לציבור, דניאל פינליי, המייסד של Metamask, הודה, "אני חושב שהנושא הזה ידוע כבר הרבה זמן, אז אני לא חושב שתקופת גילוי חלה."

פינליי הוסיף, "אלכס צודק לקרוא לנו על כך שלא התייחסנו לזה מוקדם יותר. מתחיל לעבוד על זה עכשיו. תודה על הבעיטה במכנסיים, וסליחה שהיינו צריכים אותה”.

לא לשכוח, ConsenSys, חברת האם של Metamask, גייסה 200 מיליון דולר כאשר Metamask עברה 21 מיליון משתמשים פעילים חודשיים בנובמבר 2021. ארנק הקריפטו הפופולרי ביותר משמש גם כשער ל-3,700 יישומי Web 3.0 מבוזרים (dApps).

מה דעתכם על הנושא הזה? כתוב לנו וספר לנו!

כתב ויתור

כל המידע הכלול באתרנו מתפרסם בתום לב ולמידע כללי בלבד. כל פעולה שהקורא מבצע על המידע המצוי באתרנו הינה על אחריותם בלבד.

מקור: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/