Համաձայն վերջին հետազոտության՝ Metamask կրիպտո դրամապանակի օգտագործողները կարող են կորցնել իրենց բոլոր թվային ակտիվները կամ նույնիսկ ֆիզիկական սպառնալիքները: Անվտանգության վերլուծաբան և կրիպտոգրաֆ Ալեքսանդրու Լուպասկուն՝ OMNIA արձանագրության համահիմնադիրը, այս խոցելիությունը գտել է հանրահայտ Web 3.0 դրամապանակում:
Որքա՞ն վնաս կարելի է անել:
Լուպասկուն պարզել է, որ չարամիտ կողմը կարող է պարզապես ստեղծել չփոխարինելի նշան (NFT) և ստանալ օգտատիրոջ IP հասցեն՝ փոխանցելով թվային արվեստի անվճար սեփականությունը: Հաքերը պետք է ծախսի մինչև 50 դոլար՝ ինչ-որ մեկի գաղտնիության վրա հարձակվելու համար: Նա նշեց. «Մի թերագնահատեք IP-ի արտահոսքի հետ կապված ռիսկը»։
Լուպասկուն ավելացրել է, որ «եթե չարամիտ գործող անձինք ավելի շատ տեղեկատվություն են ստանում IP հասցեից (կարծում ենք՝ աշխարհագրական դիրքը, GSM օպերատորը և այլն), նրանք կարող են այն վերածել ֆիզիկական ռիսկի, օրինակ՝ առևանգում»:
Ավելին, այս հարձակումը կարող է ավելի «ավերիչ լինել, քան ծառայության բաշխված մերժման (DDoS) հարձակումը», ըստ գաղտնագրողի: Պարզ համեմատության համար այս հարձակումը կարող է ութ անգամ ավելի հզոր լինել, քան Mirai-ի բոտնետային հարձակումը 2016 թվականի հոկտեմբերին, որը ոչնչացրեց Twitter-ը, Reddit-ը, Spotify-ը, GitHub-ը, Netflix-ը, Airbnb-ը և շատ ավելի հայտնի կայքեր:
Ալեքսանդրուն հրապարակել է ամբողջական շրջայց, թե ինչպես է արվում հարձակումը՝ սկսած NFT-ի ստեղծումից մինչև այն տուժողին փոխանցելը մինչև IP հասցե ստանալը և, վերջապես, գաղտնիությունը վտանգի ենթարկելը կամ նույնիսկ նրանց կրիպտո ակտիվները գողանալը: Նա փորձարկեց այս հարձակումը iOS Metamask հավելվածի 3.7.0 տարբերակի վրա, բայց դա կարող է նույնը լինել նաև Android տարբերակի համար: Նա ստեղծեց NFT OpenSea-ում՝ NFT-ի ամենամեծ շուկայում, և խմբագրեց ERC-1155 ստանդարտ խելացի պայմանագիրը ընկերության հետ: remix Ethereum IDE.
Արդյո՞ք դա ուղղել են:
Ըստ Լուպասկուի, նա գտել և ուղղել է անվտանգության թերությունը Metamask-ի թիմին 14 թվականի դեկտեմբերի 2021-ին, սակայն նրանք անտեսել են և արձագանքել են՝ լուծելու այս խնդիրը մինչև 2 թվականի 2022-րդ եռամսյակը: Նա ասել է. «Մեզ համար անընդունելի է թողնել այդքան մեծ օգտվողին այսքան ժամանակ վտանգի տակ գտնվող բազան, մանավանդ, եթե դա, ինչպես ասում են, նախապես հայտնի է եղել»։
Այն բանից հետո, երբ այս հետազոտությունը ցուցադրվեց հանրությանը, Դենիել Ֆինլեյը, ով Metamask-ի հիմնադիրն է, խոստովանել է, «Կարծում եմ՝ այս հարցը վաղուց լայնորեն հայտնի է, ուստի չեմ կարծում, որ բացահայտման ժամկետ է կիրառվում»։
Ֆինլեյն ավելացրեց. «Ալեքսը ճիշտ է անում, որ մեզ կոչ է անում ավելի շուտ չանդրադառնալ դրան: Սկսում ենք դրա վրա աշխատել հիմա: Շնորհակալություն շալվարին հարվածելու համար, և կներեք, որ դրա կարիքն ունեինք»:
Չմոռանանք, որ ConsenSys-ը՝ Metamask-ի մայր ընկերությունը, հավաքեց 200 միլիոն դոլար Metamask-ի հետ՝ գերազանցելով ամսական 21 միլիոն ակտիվ օգտատերերը 2021 թվականի նոյեմբերին: Ամենահայտնի կրիպտո դրամապանակը նաև օգտագործվում է որպես մուտք դեպի 3,700 Web 3.0 ապակենտրոնացված հավելվածներ (dApps):
Ի՞նչ եք կարծում այս թեմայի վերաբերյալ: Գրեք մեզ և ասեք մեզ!
Հրաժարում պատասխանատվությունից
Մեր կայքում պարունակվող ողջ տեղեկատվությունը հրապարակվում է բարեխղճորեն և միայն ընդհանուր տեղեկատվական նպատակներով: Actionանկացած գործողություն, որը ընթերցողը ձեռնարկում է մեր կայքում հայտնաբերված տեղեկատվության նկատմամբ, խստորեն իրենց ռիսկի տակ է:
Աղբյուր՝ https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/