根据最近的研究,Metamask 加密钱包用户可能面临丢失所有数字资产甚至物理威胁的风险。 OMNIA 协议的联合创始人、安全分析师和密码学家 Alexandru Lupascu 在流行的 Web 3.0 钱包中发现了这个漏洞。
能造成多大的伤害?
Lupascu 发现,恶意方可以简单地创建一个不可替代的令牌 (NFT),并通过转移数字艺术的免费所有权来获取用户的 IP 地址。 黑客需要花费低至 50 美元来攻击某人的隐私。 他提到,“不要低估与 IP 泄漏相关的风险。”
Lupascu 补充说,“如果恶意行为者从 IP 地址中获取更多信息(例如地理位置、GSM 运营商等),他们可以将其转化为物理风险,例如绑架。”
此外,根据密码学家的说法,这种攻击可能“比分布式拒绝服务 (DDoS) 攻击更具破坏性”。 简单比较一下,这种攻击的威力可能是 2016 年 XNUMX 月 Mirai 僵尸网络攻击的 XNUMX 倍,该攻击摧毁了 Twitter、Reddit、Spotify、GitHub、Netflix、Airbnb 和更多流行的网站。
Alexandru 发布了有关攻击如何完成的完整教程,从铸造 NFT 到将其转移给受害者,再到获取 IP 地址,最后,损害隐私甚至窃取他们的加密资产。 他在 iOS Metamask 应用程序版本 3.7.0 上测试了这种攻击,但对于 Android 版本也可能相同。 他在最大的 NFT 市场 OpenSea 上铸造了一个 NFT,并与 混音 以太坊IDE。
他们修好了吗?
根据 Lupascu 的说法,他于 14 年 2021 月 2 日发现并解决了 Metamask 团队的安全漏洞,但他们忽略并回应在 2022 年第二季度修复此问题。他说,“对我们来说,离开这么大的用户是不可接受的基地长期处于危险之中,特别是如果事先知道这一点,正如他们所说的那样。”
在这项研究向公众展示后,Metamask 的创始人 Daniel Finlay, 承认, “我认为这个问题早已广为人知,所以我认为不适用披露期。”
Finlay 补充说:“Alex 指责我们没有尽快解决这个问题是正确的。 现在开始工作。 谢谢你的裤子,很抱歉我们需要它。”
不要忘记,Metamask 的母公司 ConsenSys 在 200 年 21 月筹集了 2021 亿美元,Metamask 每月活跃用户超过 3,700 万。最受欢迎的加密钱包还被用作 3.0 个 Web XNUMX 去中心化应用程序 (dApp) 的网关。
你怎么看这个话题? 写信告诉我们!
免责声明
我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。
资料来源:https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/