최근 연구에 따르면 Metamask 암호화폐 지갑 사용자는 모든 디지털 자산을 잃거나 심지어 물리적 위협까지 잃을 위험에 처할 수 있습니다. OMNIA 프로토콜의 공동 창립자이자 보안 분석가이자 암호학자인 Alexandru Lupascu는 인기 있는 Web 3.0 지갑에서 이 취약점을 발견했습니다.
얼마나 많은 해를 끼칠 수 있습니까?
Lupascu는 악의적인 당사자가 대체 불가능한 토큰(NFT)을 생성하고 디지털 아트의 무료 소유권을 이전하여 사용자의 IP 주소를 얻을 수 있다는 사실을 발견했습니다. 해커가 누군가의 개인 정보를 공격하려면 50달러만 지출하면 됩니다. 그는 “IP 유출에 따른 위험을 과소평가하지 말라”고 말했다.
Lupascu는 "악의적인 행위자가 IP 주소(지리적 위치, GSM 통신사 등)에서 더 많은 정보를 추출하면 이를 납치와 같은 물리적 위험으로 전환할 수 있다"고 덧붙였습니다.
게다가 이 공격은 DDoS(분산 서비스 거부) 공격보다 더 파괴적일 수 있다고 암호학자는 말합니다. 간단한 비교를 위해 이 공격은 2016년 XNUMX월 Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb 및 더 많은 인기 웹사이트를 다운시킨 Mirai 봇넷 공격보다 XNUMX배 더 강력할 수 있습니다.
Alexandru는 NFT 생성부터 피해자에게 전송, IP 주소 획득, 마지막으로 개인 정보 보호 또는 암호화폐 자산 훔치기까지 공격이 어떻게 수행되는지에 대한 전체 투어를 게시했습니다. 그는 iOS Metamask 앱 버전 3.7.0에서 이 공격을 테스트했지만 Android 버전에서도 동일할 수 있습니다. 그는 최대 NFT 마켓플레이스인 OpenSea에서 NFT를 발행하고 ERC-1155 표준 스마트 계약을 편집했습니다. 리믹스 이더리움 IDE.
그들이 그것을 고쳤나요?
Lupascu에 따르면 그는 14년 2021월 2일에 Metamask 팀에 보안 결함을 발견하고 해결했지만 그들은 이를 무시하고 2022년 XNUMX분기까지 이 문제를 해결하기 위해 응답했습니다. 그는 “우리로서는 이렇게 큰 사용자를 남겨두는 것은 용납할 수 없습니다”라고 말했습니다. 특히 그들이 말하는 것처럼 사전에 이것이 알려졌을 경우 더욱 그렇습니다.”
이 연구가 대중에게 공개된 후, 메타마스크의 창시자인 다니엘 핀레이(Daniel Finlay)는 인정 된, “이 문제는 오랫동안 널리 알려져 있었던 것 같아 공개 기간이 적용되지 않는다고 생각합니다.”
Finlay는 이렇게 덧붙였습니다. “Alex가 문제를 더 빨리 해결하지 못했다고 우리에게 전화한 것은 옳습니다. 지금 작업을 시작하세요. 바지를 걷어차줘서 고마워요. 필요해서 미안해요.”
Metamask의 모회사인 ConsenSys는 200년 21월에 Metamask의 월간 활성 사용자가 2021만 명을 돌파하면서 3,700억 달러를 모금했습니다. 가장 인기 있는 암호화폐 지갑은 3.0개의 Web XNUMX 분산 애플리케이션(dApp)에 대한 게이트웨이로도 사용됩니다.
이 주제에 대해 어떻게 생각하세요? 우리에게 편지를 쓰고 알려주십시오.!
책임 부인
당사 웹 사이트에 포함 된 모든 정보는 선의로 일반 정보 목적으로 만 게시됩니다. 독자가 당사 웹 사이트에있는 정보에 대해 취하는 모든 조치는 전적으로 자신의 책임입니다.
출처: https://beincrypto.com/tical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/