Logo Zephyrnet

MetaMask biết nó có lỗ hổng bảo mật nghiêm trọng, nhưng chưa sửa nó

Ngày:

Chìa khóa chính

  • Nhà mật mã học Alexandru Lupascu đã phát hiện ra một lỗ hổng nghiêm trọng trong ví Web3 phổ biến nhất MetaMask.
  • Lupascu nhận thấy rằng các thực thể độc hại có thể tìm thấy dữ liệu IP của người dùng di động MetaMask bằng cách airdrop họ NFT.
  • Người sáng lập MetaMask, Daniel Finlay, thừa nhận trong một bài đăng trên Twitter rằng “vấn đề đã được biết đến rộng rãi trong một thời gian dài”. Nó vẫn chưa khắc phục được sự cố.

Chia sẻ bài báo này

Alexandru Lupascu nói rằng người dùng MetaMask truy cập ứng dụng trên thiết bị di động có nguy cơ bị lộ địa chỉ IP của họ.

Ứng dụng di động MetaMask có thể tiết lộ quyền riêng tư của người dùng

Một nhà mật mã đã cảnh báo người dùng MetaMask có thể gặp rủi ro về quyền riêng tư của họ.

Alexandru Lupascu, người đồng sáng lập dịch vụ nút quyền riêng tư OMNIA Protocol, nói rằng anh ta đã tìm thấy một lỗ hổng nghiêm trọng trong ví Web3 phổ biến của ConsenSys khiến tin tặc có thể truy cập địa chỉ IP của người dùng, do đó tạo ra rủi ro về quyền riêng tư. Địa chỉ IP là một số nhận dạng toàn cầu duy nhất được chỉ định cho một thiết bị được kết nối với web. Khi người dùng có thể lưu trữ tài sản tiền điện tử của họ trên ví MetaMask, lỗ hổng địa chỉ IP là một mối quan tâm lớn vì nó có thể tạo ra một cách để tin tặc xác định nơi người dùng truy cập vào ví.

Lupascu đã xuất bản một bài đăng blog giải thích cách lỗ hổng có thể bị khai thác bằng cách khai thác và phát trực tuyến một bộ sưu tập NFT tới địa chỉ Ethereum được kết nối MetaMask được sử dụng trên điện thoại di động.

NFT là tài sản kỹ thuật số biểu thị quyền sở hữu nội dung như nghệ thuật kỹ thuật số, âm nhạc và meme. Họ cung cấp một cách để mã hóa nội dung nhưng thường không lưu trữ nội dung thực tế. Vì việc lưu trữ dữ liệu hình ảnh trên một blockchain như Ethereum có thể tốn kém, các NFT chứa các Bộ định vị Tài nguyên Đồng nhất trỏ đến dữ liệu. Nội dung cho NFT thường được lưu trữ trên mạng lưu trữ phi tập trung như IPFS hoặc trên các máy chủ đám mây tập trung từ xa.

Theo mặc định, ứng dụng MetaMask dành cho thiết bị di động hiển thị các NFT được lưu trữ trong một địa chỉ bằng lệnh gọi hàm URL tới dữ liệu hình ảnh. Dữ liệu này được lưu trữ trên các máy chủ từ xa. Quá trình được thực hiện mà không yêu cầu sự đồng ý của người dùng để hiển thị những NFT nào được chứa trong ví Ethereum của họ.


Trong quá trình tìm nạp này, tất cả các cổng máy chủ xử lý việc truyền dữ liệu hình ảnh đều nhận được thông tin IP của người dùng. Nói chung, các dự án vận hành máy chủ cho dữ liệu hình ảnh giữ cho dữ liệu an toàn.

Trong cuộc điều tra của mình, Lupascu xác định rằng các thực thể độc hại có thể tìm thấy dữ liệu IP của người dùng MetaMask và khai thác thông tin để thực hiện các cuộc tấn công có chủ đích. Trong bài đăng trên blog của mình, Lupascu giải thích:

“Nếu một kẻ độc hại chỉ biết địa chỉ blockchain của bạn, anh ta có thể tạo ra một NFT có URL trỏ đến máy chủ của anh ta và chuyển quyền sở hữu của NFT đến địa chỉ của bạn. Do đó, khi ví tiền điện tử của bạn tìm nạp hình ảnh từ xa từ máy chủ, nó sẽ xâm phạm quyền riêng tư của bạn ”.

Lupascu đã kiểm tra lỗ hổng bằng cách tạo ra một NFT trên OpenSea dựa trên tiêu chuẩn ERC-1155. Sau đó, anh ta sử dụng một trình soạn thảo hợp đồng thông minh để thay đổi URL ban đầu được liên kết với NFT để trỏ đến một máy chủ mới dưới sự kiểm soát của anh ta. Sau đó, Lupascu đã gửi NFT đến một địa chỉ Ethereum. Khi anh ta truy cập địa chỉ thông qua ứng dụng di động MetaMask, địa chỉ IP của anh ta xuất hiện trong máy chủ mà anh ta kiểm soát. Anh ta cho biết chi phí khoảng 50 đô la để thực hiện vụ tấn công.

Lupascu nói với Crypto Briefing rằng anh ấy đã thông báo cho nhóm MetaMask về vấn đề này vào giữa tháng 2021 năm 3, có nghĩa là ví Web2022 đã biết về vấn đề này trong ít nhất một tháng. Nhóm MetaMask hứa sẽ phát hành một bản vá vào quý XNUMX năm XNUMX – khung thời gian mà Lupascu coi là “không thể chấp nhận được” với mức độ nghiêm trọng của vấn đề.

Giải quyết lỗ hổng bảo mật, người sáng lập MetaMask, Daniel Finlay, thừa nhận trong một phản hồi tweet với Lupascu rằng "vấn đề này đã được biết đến rộng rãi trong một thời gian dài." Anh ấy nói thêm:

“Alex có lý khi gọi chúng tôi vì không giải quyết sớm hơn. Bắt đầu làm việc trên nó ngay bây giờ. Cảm ơn vì cú đá vào quần, và xin lỗi vì chúng tôi cần nó ”.

Finlay có cũng được đề xuất rằng ví có thể “chỉ tải các liên kết loại IPFS theo mặc định.” Hơn nữa, người dùng MetaMask sẽ phải đồng ý rõ ràng để tìm nạp dữ liệu NFT được lưu trữ trên các máy chủ của bên thứ ba.

Trong khi đó, Lupascu nói rằng anh ấy nghĩ rằng người dùng Ethereum nên cảnh giác nếu họ nhận được các NFT được airdrop và chỉ nên truy cập chúng thông qua OpenSea. “Cho đến khi vấn đề này được khắc phục trên ứng dụng di động, hãy sử dụng OpenSea nền tảng với bất kỳ ví tương thích Web3 nào để khám phá các bộ sưu tập của bạn. Một lời nhắc nhở tử tế cho mọi người rằng quyền riêng tư ngoài chuỗi thực sự quan trọng — đừng bỏ qua nó, ”ông nói.

Trong những tháng gần đây, những người thu thập NFT đã mất hàng triệu đô la tài sản kỹ thuật số thông qua các cuộc tấn công, hack và lừa đảo. Nhiều người dùng bị ảnh hưởng đã lưu trữ các NFT có giá trị từ Câu lạc bộ Du thuyền Bored Ape và các bộ sưu tập được tìm kiếm khác trên ví MetaMask và bị tấn công lừa đảo. Vì MetaMask là một ví nóng, những tên trộm có thể rút tiền một cách tương đối dễ dàng sau khi chúng có khóa riêng của người dùng. Vì các khóa cá nhân cho ví nóng có thể bị xâm phạm thông qua các cuộc tấn công lừa đảo và phần mềm độc hại, chúng được coi là kém an toàn hơn so với các tùy chọn lưu trữ lạnh như ví phần cứng, vốn yêu cầu quyền truy cập vào thiết bị vật lý để truy cập tiền.

MetaMask là ví Web3 phổ biến nhất để truy cập Ethereum và các mạng blockchain tương thích với EVM khác. Nó có hơn 21 triệu người dùng hoạt động hàng tháng tính đến tháng 2021 năm XNUMX, theo một Thông cáo báo chí của ConsenSys.

Tiết lộ: Tại thời điểm viết bài, tác giả của bài viết này sở hữu ETH và các loại tiền điện tử khác.

Chia sẻ bài báo này

Nguồn: https://cryptobriefing.com/ethereum-wallet-metamask-has-critical-privacy-vulnerability/?utm_source=main_feed&utm_medium=rss

tại chỗ_img

Tin tức mới nhất

tại chỗ_img