Jüngsten Untersuchungen zufolge besteht für Benutzer von Metamask-Krypto-Wallets das Risiko, dass sie alle ihre digitalen Vermögenswerte verlieren oder sogar physischen Bedrohungen ausgesetzt sind. Der Sicherheitsanalyst und Kryptograf Alexandru Lupascu, Mitbegründer des OMNIA-Protokolls, hat diese Schwachstelle im beliebten Web 3.0-Wallet gefunden.
Wie viel Schaden kann angerichtet werden?
Lupascu fand heraus, dass eine böswillige Partei einfach einen nicht fungiblen Token (NFT) erstellen und die IP-Adresse eines Benutzers erhalten kann, indem sie das Eigentum an der digitalen Kunst kostenlos überträgt. Ein Hacker müsste nur 50 US-Dollar ausgeben, um die Privatsphäre einer Person anzugreifen. Er sagte: „Unterschätzen Sie nicht das Risiko, das mit IP-Lecks verbunden ist.“
Lupascu fügte hinzu: „Wenn böswillige Akteure mehr Informationen aus der IP-Adresse ableiten (denken Sie an Geolokalisierung, GSM-Netzbetreiber usw.), können sie daraus physische Risiken wie Entführungen machen.“
Darüber hinaus könne dieser Angriff „verheerender sein als ein Distributed Denial of Service (DDoS)-Angriff“, so der Kryptograf. Zum Vergleich: Dieser Angriff kann achtmal stärker sein als der Mirai-Botnet-Angriff im Oktober 2016, der Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb und viele weitere beliebte Websites lahmlegte.
Alexandru veröffentlichte einen vollständigen Überblick über die Durchführung des Angriffs, von der Prägung eines NFT über dessen Übertragung an das Opfer bis hin zum Erhalt der IP-Adresse und schließlich der Gefährdung der Privatsphäre oder sogar dem Diebstahl ihrer Krypto-Assets. Er hat diesen Angriff auf der iOS-Metamask-App Version 3.7.0 getestet, es könnte jedoch auch für die Android-Version dasselbe sein. Er prägte einen NFT auf OpenSea, dem größten NFT-Marktplatz, und erstellte den ERC-1155-Standard-Smart-Vertrag mit dem Remix Ethereum-IDE.
Haben sie es repariert?
Laut Lupascu hat er die Sicherheitslücke am 14. Dezember 2021 gefunden und das Metamask-Team angesprochen, aber sie haben es versäumt und reagierten, um das Problem bis zum zweiten Quartal 2 zu beheben. Er sagte: „Für uns ist es inakzeptabel, einen so großen Benutzer zu verlassen.“ Die Basis war so lange gefährdet, vor allem, wenn man das vorher wusste, wie man sagt.“
Nachdem diese Forschung der Öffentlichkeit zugänglich gemacht wurde, sagte Daniel Finlay, der Gründer von Metamask, zugelassen„Ich denke, dass dieses Problem schon lange bekannt ist, daher glaube ich nicht, dass es eine Offenlegungsfrist gibt.“
Finlay fügte hinzu: „Alex hat Recht, wenn er uns dafür kritisiert, dass wir uns nicht früher darum gekümmert haben. Ich beginne jetzt mit der Arbeit daran. Vielen Dank für den Kick in die Hose und es tut mir leid, dass wir ihn gebraucht haben.“
Nicht zu vergessen: ConsenSys, die Muttergesellschaft von Metamask, hat 200 Millionen US-Dollar eingesammelt, wobei Metamask im November 21 die Marke von 2021 Millionen aktiven Nutzern pro Monat überschritten hat. Das beliebteste Krypto-Wallet wird auch als Gateway zu 3,700 dezentralen Web 3.0-Anwendungen (dApps) verwendet.
Was denkst du über dieses Thema? Schreiben Sie uns und sagen Sie es uns!
Haftungsausschluss
Alle auf unserer Website enthaltenen Informationen werden in gutem Glauben und nur zu allgemeinen Informationszwecken veröffentlicht. Alle Maßnahmen, die der Leser in Bezug auf die auf unserer Website enthaltenen Informationen ergreift, erfolgen ausschließlich auf eigenes Risiko.
Quelle: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/