根據最近的研究,Metamask 加密錢包的用戶可能面臨丟失所有數字資產甚至物理威脅的風險。 OMNIA 協議的聯合創始人、安全分析師和密碼學家 Alexandru Lupascu 在流行的 Web 3.0 錢包中發現了這個漏洞。
它可以做得有多糟糕?
Lupascu 發現,攻擊者可以簡單地創建一個不可替代的令牌 (NFT) ,並通過轉移數字藝術的免費所有權來獲取用戶的 IP 地址。黑客必須花費至少 50 美元來攻擊某人的隱私。他說:“不要低估與 IP 洩露相關的風險。”
Lupascu 補充說,“如果惡意行為者從 IP 地址獲得更多信息(比如地理位置、GSM 運營商等),他們可以將其轉化為物理風險,例如綁架。”
此外,根據密碼學家的說法,這種攻擊可能“比分佈式拒絕服務 (DDoS) 攻擊更具破壞性”。簡單比較一下,這次攻擊的威力可能是 2016 年 10 月Mirai 殭屍網絡攻擊的 8 倍,該攻擊摧毀了 Twitter、Reddit、Spotify、GitHub、Netflix、Airbnb 和許多其他流行網站。
Alexandru 發布了關於如何執行攻擊的全面介紹,從鑄造 NFT 到將其轉移給受害者以獲取 IP 地址,並最終損害他們的隱私,甚至竊取他們的加密資產。他在 Metamask iOS 應用程序版本 3.7.0 上測試了這種攻擊,但對於 Android 版本也可能相同。他在最大的 NFT 市場 OpenSea 上創造了 NFT,並使用Remix Ethereum IDE修改了 ERC-1155 標準智能合約。
他們修好了嗎?
根據 Lupascu 的說法,他在 2021 年 12 月 14 日發現了該安全漏洞並將其提交給 Metamask 團隊,但他們忽略並回應在 2022 年第二季度修復此問題。他說:“我們無法接受如此龐大的用戶群. 長期處於危險之中,特別是如果您提前知道,正如他們所說的“。
在這項研究向公眾展示後,Metamask 創始人 Daniel Finlay 坦言:“我認為這個問題早已廣為人知,所以我認為不適用披露期。”
芬利補充道:“亞歷克斯打電話給我們是正確的,因為我們沒有早點和他打交道。我現在開始努力了。謝謝你的褲子,我很抱歉我們需要它。
別忘了,Metamask 的母公司 ConsenSys 在 2021 年 11 月籌集了 2 億美元,Metamask 每月活躍用戶超過 2100 萬。最受歡迎的加密錢包還被用作 3700 個去中心化 Web 3.0 應用程序 (dApp) 的網關。
對於這個話題你有什麼看法?寫信告訴我們!