Secondo una recente ricerca, gli utenti del portafoglio crittografico Metamask potrebbero essere a rischio di perdere tutte le loro risorse digitali o persino minacce fisiche. L'analista di sicurezza e crittografo Alexandru Lupascu, co-fondatore del protocollo OMNIA, ha rilevato questa vulnerabilità nel popolare portafoglio Web 3.0.
Quanto male si può fare?
Lupascu ha scoperto che una parte malintenzionata può semplicemente creare un token non fungibile (NFT) e ottenere l'indirizzo IP di un utente trasferendo la proprietà gratuita dell'arte digitale. Un hacker dovrebbe spendere un minimo di $ 50 per attaccare la privacy di qualcuno. Ha detto: "Non sottovalutare il rischio associato alle perdite di IP".
Lupascu ha aggiunto che "se gli attori malintenzionati ricavano più informazioni dall'indirizzo IP (pensa alla geolocalizzazione, al gestore GSM, ecc.), Possono trasformarlo in rischi fisici, come il rapimento".
Inoltre, questo attacco può essere più "devastante di un attacco Distributed Denial of Service (DDoS)", secondo il crittografo. Per un semplice confronto, questo attacco può essere otto volte più potente dell'attacco botnet Mirai dell'ottobre 2016 che ha abbattuto Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb e molti altri siti Web popolari.
Alexandru ha pubblicato un tour completo di come viene eseguito l'attacco, dal conio di un NFT al trasferimento alla vittima per ottenere l'indirizzo IP e, infine, compromettere la privacy o persino rubare le loro risorse crittografiche. Ha testato questo attacco sull'app Metamask iOS versione 3.7.0, ma potrebbe essere lo stesso anche per la versione Android. Ha coniato un NFT su OpenSea, il più grande mercato NFT, e ha modificato lo smart contract standard ERC-1155 con Remix Ethereum IDE .
L'hanno aggiustato?
Secondo Lupascu, ha trovato e indirizzato il difetto di sicurezza al team Metamask il 14 dicembre 2021, ma hanno trascurato e hanno risposto per risolvere questo problema entro il secondo trimestre del 2022. Ha detto: "Per noi è inaccettabile lasciare un utente così grande base a rischio per così tanto tempo, soprattutto se si sapeva in anticipo, come si suol dire”.
Dopo che questa ricerca è stata mostrata al pubblico, Daniel Finlay, fondatore di Metamask, ha ammesso : "Penso che questo problema sia ampiamente noto da molto tempo, quindi non credo che si applichi un periodo di divulgazione".
Finlay ha aggiunto: "Alex ha ragione a chiamarci per non averlo affrontato prima. Inizio a lavorarci ora. Grazie per il calcio nei pantaloni e mi dispiace che ne avessimo bisogno.
Per non dimenticare, ConsenSys, la società madre di Metamask, ha raccolto $ 200 milioni con Metamask superando i 21 milioni di utenti attivi mensili nel novembre 2021. Il portafoglio crittografico più popolare viene utilizzato anche come gateway per 3.700 applicazioni decentralizzate Web 3.0 (dApp).
Cosa ne pensi di questo argomento? Scrivici e raccontaci !
La vulnerabilità post critica rilevata che potrebbe mettere a rischio 21 milioni di dati degli utenti di metamask è apparsa per la prima volta su BeInCrypto .