Faits marquants
- Le cryptographe Alexandru Lupascu a découvert une vulnérabilité critique dans le MetaMask du portefeuille Web3 le plus populaire.
- Lupascu a découvert que des entités malveillantes peuvent trouver les données IP des utilisateurs mobiles de MetaMask en leur envoyant des NFT.
- Le fondateur de MetaMask, Daniel Finlay, a admis dans un message sur Twitter que "le problème est largement connu depuis longtemps". Il reste à résoudre le problème.
Partagez cet article
Alexandru Lupascu dit que les utilisateurs de MetaMask qui accèdent à l'application sur des appareils mobiles risquent d'exposer leur adresse IP.
L'application mobile MetaMask peut exposer la vie privée des utilisateurs
Les utilisateurs de MetaMask peuvent mettre leur vie privée en danger, a averti un cryptographe.
Alexandru Lupascu, qui a cofondé le service de nœud de confidentialité OMNIA Protocol, a déclaré avoir trouvé une vulnérabilité critique dans le populaire portefeuille Web3 de ConsenSys qui donne aux pirates un moyen d'accéder aux adresses IP des utilisateurs, créant ainsi un risque pour la confidentialité. Une adresse IP est un identifiant global unique attribué à un appareil connecté au Web. Comme les utilisateurs peuvent stocker leurs actifs cryptographiques sur les portefeuilles MetaMask, une vulnérabilité d'adresse IP est une préoccupation majeure car elle pourrait créer un moyen pour les pirates d'identifier où l'utilisateur accède au portefeuille.
Lupascu publié un blog expliquant comment la vulnérabilité peut être exploitée en créant et en largant un objet de collection NFT sur une adresse Ethereum connectée à MetaMask utilisée sur un téléphone mobile.
Les NFT sont des actifs numériques qui dénotent la propriété de contenus tels que l'art numérique, la musique et les mèmes. Ils offrent un moyen de tokeniser le contenu mais ne stockent généralement pas le contenu réel. Étant donné que le stockage de données d'image sur une blockchain comme Ethereum peut être coûteux, les NFT contiennent des localisateurs de ressources uniformes qui pointent vers les données. Le contenu des NFT est souvent stocké soit sur un réseau de stockage décentralisé comme IPFS, soit sur des serveurs cloud centralisés distants.
Par défaut, l'application mobile MetaMask affiche les NFT stockés dans une adresse à l'aide d'un appel de fonction URL aux données d'image. Ces données sont hébergées sur des serveurs distants. Le processus se fait sans demander le consentement de l'utilisateur afin d'afficher quels NFT sont contenus dans son portefeuille Ethereum.
Au cours de ce processus de récupération, toutes les passerelles de serveur gérant la transmission des données d'image reçoivent les informations IP de l'utilisateur. Généralement, les projets exploitant les serveurs pour les données d'image assurent la sécurité des données.
Dans son enquête, Lupascu a déterminé que des entités malveillantes peuvent trouver les données IP des utilisateurs de MetaMask et exploiter les informations pour exécuter des attaques ciblées. Dans son article de blog, Lupascu a expliqué :
« Si un acteur malveillant ne connaît que votre adresse blockchain, il peut créer un NFT avec une URL pointant vers son serveur et transférer la propriété du NFT à votre adresse. Ainsi, lorsque votre portefeuille crypto récupère l'image distante du serveur, cela compromettra votre vie privée.
Lupascu a testé la vulnérabilité en créant un NFT sur OpenSea basé sur la norme ERC-1155. Il a ensuite utilisé un éditeur de contrat intelligent pour modifier l'URL d'origine liée au NFT afin qu'elle pointe vers un nouveau serveur sous son contrôle. Ensuite, Lupascu a envoyé le NFT à une adresse Ethereum. Lorsqu'il a accédé à l'adresse via l'application mobile MetaMask, son adresse IP est apparue sur le serveur qu'il contrôlait. Il a dit qu'il en coûtait environ 50 $ pour exécuter l'attaque.
Lupascu a déclaré à Crypto Briefing qu'il avait informé l'équipe MetaMask du problème à la mi-décembre 2021, ce qui signifie que le portefeuille Web3 est au courant du problème depuis au moins un mois. L'équipe MetaMask a promis de publier un correctif d'ici le deuxième trimestre de 2022 - un délai que Lupascu considère comme "inacceptable" compte tenu de la gravité du problème.
"Alex a raison de nous rappeler de ne pas l'avoir abordé plus tôt. Commencer à travailler dessus maintenant. Merci pour le coup de pied dans le pantalon, et désolé d'en avoir besoin.
Finlay a également proposé que le portefeuille ne pouvait "charger que des liens de type IPFS par défaut". De plus, les utilisateurs de MetaMask devront donner leur consentement explicite pour récupérer les données NFT stockées sur des serveurs tiers.
Pendant ce temps, Lupascu dit qu'il pense que les utilisateurs d'Ethereum devraient être vigilants s'ils reçoivent des NFT parachutés, et qu'il est conseillé d'y accéder uniquement via OpenSea. "En attendant que ce problème soit résolu sur l'application mobile, utilisez le OpenSea plateforme avec n’importe quel portefeuille compatible Web3 pour explorer vos objets de collection. Un aimable rappel à tous que la confidentialité hors chaîne est vraiment importante : ne la négligez pas », a-t-il déclaré.
Au cours des derniers mois, les collectionneurs de NFT ont perdu des millions de dollars d'actifs numériques à cause d'attaques, de piratages et d'escroqueries. De nombreux utilisateurs concernés ont stocké de précieux NFT de Bored Ape Yacht Club et d'autres collections recherchées sur des portefeuilles MetaMask et ont subi des attaques de phishing. Comme MetaMask est un portefeuille chaud, les voleurs peuvent drainer des fonds avec une relative facilité une fois qu'ils ont la clé privée d'un utilisateur. Comme les clés privées d'un portefeuille actif peuvent être compromises par des attaques de phishing et de logiciels malveillants, elles sont largement considérées comme moins sécurisées que les options de stockage à froid telles que les portefeuilles matériels, qui nécessitent l'accès à un appareil physique pour accéder aux fonds.
MetaMask est le portefeuille Web3 le plus populaire pour accéder à Ethereum et à d'autres réseaux blockchain compatibles EVM. Il comptait plus de 21 millions d'utilisateurs actifs mensuels en novembre 2021, selon un Communiqué de presse ConsenSys.
Divulgation: Au moment de la rédaction, l'auteur de cet article possédait de l'ETH et d'autres crypto-monnaies.
Partagez cet article
Un pirate admet avoir volé 88 ETH dans une arnaque NFT, puis le renvoie
Un pirate informatique a retourné plus de 340,000 XNUMX $ en ETH au projet Creature Toadz NFT après avoir publié un faux lien menthe dans Discord. Malgré le retour des fonds, certains membres…
Web3 - Qu'est-ce que c'est, ce que cela signifie et comment nous allons effectuer la transition
Nous sommes à l'aube d'une nouvelle ère d'Internet. Petit à petit, ce nouveau monde numérique, et tout ce qu'il permet, deviendra petit à petit une partie de…
1.8 million de dollars perdus à cause d'une fausse escroquerie MetaMask Token Honeypot
Un faux jeton MetaMask a escroqué les commerçants de plus de 1.8 million de dollars. Les pirates ont injecté du code dans le frontal de l'application DEXTools, convainquant les commerçants que le jeton avait été vérifié. Le métamasque…
Bored Ape NFT Collector perd 2.2 millions de dollars dans une escroquerie par hameçonnage
Un collecteur de NFT a perdu des millions de dollars de NFT dans une apparente attaque de phishing. Un collectionneur de NFT ciblé par une attaque de phishing Un conservateur d'art basé à New York et NFT…