Key Takeaways
- Cryptograaf Alexandru Lupascu ontdekte een kritieke kwetsbaarheid in de populairste Web3-portemonnee MetaMask.
- Lupascu ontdekte dat kwaadwillende entiteiten de IP-gegevens van mobiele MetaMask-gebruikers kunnen vinden door ze NFT's te airdroppen.
- MetaMask-oprichter Daniel Finlay gaf in een Twitter-bericht toe dat “het probleem al lange tijd algemeen bekend is.” Het probleem moet nog worden opgelost.
deel dit artikel
Alexandru Lupascu zegt dat MetaMask-gebruikers die de app op mobiele apparaten openen het risico lopen hun IP-adres openbaar te maken.
MetaMask mobiele app kan de privacy van gebruikers blootleggen
MetaMask-gebruikers brengen mogelijk hun privacy in gevaar, heeft een cryptograaf gewaarschuwd.
Alexandru Lupascu, medeoprichter van de privacyknooppuntservice OMNIA Protocol, zegt dat hij een kritieke kwetsbaarheid heeft gevonden in de populaire Web3-portemonnee van ConsenSys, die hackers een manier geeft om toegang te krijgen tot de IP-adressen van gebruikers, waardoor een privacyrisico ontstaat. Een IP-adres is een unieke globale identificatie die wordt toegewezen aan een apparaat dat met internet is verbonden. Omdat gebruikers hun crypto-activa op MetaMask-wallets kunnen opslaan, is een kwetsbaarheid voor IP-adressen een groot probleem, omdat het voor hackers een manier zou kunnen creëren om te identificeren waar de gebruiker toegang heeft tot de portemonnee.
Lupascu gepubliceerd een blog post waarin wordt uitgelegd hoe de kwetsbaarheid kan worden uitgebuit door een NFT-collectible te minten en te airdroppen naar een met MetaMask verbonden Ethereum-adres dat op een mobiele telefoon wordt gebruikt.
NFT's zijn digitale activa die het eigendom van inhoud zoals digitale kunst, muziek en memes aangeven. Ze bieden een manier om inhoud te tokeniseren, maar slaan doorgaans niet de daadwerkelijke inhoud op. Omdat het opslaan van beeldgegevens op een blockchain zoals Ethereum duur kan zijn, bevatten NFT's Uniform Resource Locators die naar de gegevens verwijzen. De inhoud voor NFT's wordt vaak opgeslagen op een gedecentraliseerd opslagnetwerk zoals IPFS of op externe gecentraliseerde cloudservers.
Standaard geeft de mobiele MetaMask-app NFT's weer die zijn opgeslagen in een adres met behulp van een URL-functieaanroep naar de afbeeldingsgegevens. Deze gegevens worden gehost op externe servers. Het proces wordt uitgevoerd zonder toestemming van de gebruiker te vragen om weer te geven welke NFT's zich in hun Ethereum-portemonnee bevinden.
Tijdens dit ophaalproces ontvangen alle servergateways die de overdracht van beeldgegevens afhandelen de IP-informatie van de gebruiker. Over het algemeen houden de projecten die de servers voor de beeldgegevens beheren de gegevens veilig.
In zijn onderzoek heeft Lupascu vastgesteld dat kwaadwillende entiteiten de IP-gegevens van MetaMask-gebruikers kunnen vinden en deze informatie kunnen misbruiken om gerichte aanvallen uit te voeren. In zijn blogpost legde Lupascu uit:
“Als een kwaadwillende actor alleen uw blockchain-adres kent, kan hij een NFT maken met een URL die naar zijn server verwijst en het eigendom van de NFT overdragen aan uw adres. Dus als uw crypto-portemonnee de externe afbeelding van de server ophaalt, brengt dit uw privacy in gevaar.”
Lupascu testte de kwetsbaarheid door een NFT op OpenSea te maken op basis van de ERC-1155-standaard. Vervolgens gebruikte hij een slimme contracteditor om de oorspronkelijke URL die aan de NFT was gekoppeld, te wijzigen zodat deze naar een nieuwe server onder zijn controle verwijst. Vervolgens stuurde Lupascu de NFT naar een Ethereum-adres. Toen hij via de mobiele MetaMask-app toegang kreeg tot het adres, verscheen zijn IP-adres op de server die hij beheerde. Hij zei dat het ongeveer $ 50 kostte om de aanval uit te voeren.
Lupascu vertelde Crypto Briefing dat hij het MetaMask-team medio december 2021 op de hoogte had gesteld van het probleem, wat betekent dat de Web3-portemonnee al minstens een maand op de hoogte is van het probleem. Het MetaMask-team beloofde tegen het tweede kwartaal van 2022 een patch uit te brengen – een tijdsbestek dat Lupascu als ‘onaanvaardbaar’ beschouwt gezien de ernst van de zaak.
“Alex heeft gelijk als hij ons erop aanspreekt dat we dit niet eerder hebben aangepakt. Begin er nu aan te werken. Bedankt voor de kick in de broek, en sorry dat we het nodig hadden.
Finlay heeft ook voorgesteld dat de portemonnee “standaard alleen IPFS-type links kon laden.” Bovendien zullen MetaMask-gebruikers expliciete toestemming moeten geven om NFT-gegevens op te halen die zijn opgeslagen op servers van derden.
Ondertussen zegt Lupascu dat hij vindt dat Ethereum-gebruikers waakzaam moeten zijn als ze via de lucht gedropte NFT's ontvangen, en dat het raadzaam is om deze alleen via OpenSea te benaderen. “Totdat dit probleem op de mobiele applicatie is opgelost, gebruik je de Open zee platform met elke Web3-compatibele portemonnee om uw verzamelobjecten te verkennen. Een vriendelijke herinnering aan iedereen dat privacy buiten de keten heel belangrijk is – verwaarloos deze niet”, zei hij.
De afgelopen maanden zijn NFT-verzamelaars voor miljoenen dollars aan digitale activa kwijtgeraakt door aanvallen, hacks en oplichting. Veel van de getroffen gebruikers bewaarden waardevolle NFT's van de Bored Ape Yacht Club en andere gewilde collecties op MetaMask-portemonnees en leden aan phishing-aanvallen. Omdat MetaMask een populaire portemonnee is, kunnen dieven relatief gemakkelijk geld aftappen zodra ze de privésleutel van een gebruiker hebben. Omdat de privésleutels voor een hot wallet kunnen worden aangetast door phishing- en malware-aanvallen, worden ze algemeen als minder veilig beschouwd dan opties voor koude opslag, zoals hardware wallets, die toegang tot een fysiek apparaat vereisen om toegang te krijgen tot het geld.
MetaMask is de populairste Web3-portemonnee voor toegang tot Ethereum en andere EVM-compatibele blockchain-netwerken. Volgens een ConsenSys-persbericht.
Openbaarmaking: op het moment van schrijven was de auteur van dit stuk eigenaar van ETH en andere cryptocurrencies.
deel dit artikel
Hacker geeft toe 88 ETH te hebben gestolen in NFT-zwendel en geeft het dan terug
Een hacker heeft meer dan $340,000 aan ETH teruggegeven aan het Creature Toadz NFT-project nadat hij een nep-muntlink in Discord had geplaatst. Ondanks de teruggave van het geld, hebben sommige leden...
Web3 – Wat het is, wat het betekent en hoe we overstappen
We staan aan het begin van een nieuw internettijdperk. Beetje bij beetje zal deze nieuwe digitale wereld, en alles wat het mogelijk maakt, langzaam deel gaan uitmaken van...
$ 1.8 miljoen verloren door nep MetaMask Token Honeypot Scam
Een nep MetaMask-token heeft handelaren opgelicht voor meer dan $ 1.8 miljoen. Hackers injecteerden code in de front-end van de DEXTools-applicatie, waardoor handelaren ervan overtuigd waren dat het token was geverifieerd. Het MetaMasker…
Bored Ape NFT Collector verliest $ 2.2 miljoen aan phishing-zwendel
Een NFT-verzamelaar is miljoenen dollars aan NFT's kwijtgeraakt bij een schijnbare phishing-aanval. NFT-verzamelaar doelwit van phishingaanval Een in New York gevestigde kunstconservator en NFT...