وفقًا للأبحاث الحديثة ، قد يتعرض مستخدمو محفظة Metamask المشفرة لخطر فقدان جميع أصولهم الرقمية أو حتى التهديدات المادية. وجد المحلل الأمني وعالم التشفير ألكساندرو لوباسكو ، المؤسس المشارك لبروتوكول OMNIA ، هذه الثغرة الأمنية في محفظة Web 3.0 الشهيرة.
ما مقدار الضرر الذي يمكن أن يحدث؟
وجد Lupascu أن الطرف الخبيث يمكنه ببساطة إنشاء رمز غير قابل للاستبدال (NFT) والحصول على عنوان IP للمستخدم عن طريق نقل الملكية المجانية للفن الرقمي. سيحتاج المتسلل إلى إنفاق ما يصل إلى 50 دولارًا لمهاجمة خصوصية شخص ما. وذكر ، "لا تقلل من شأن المخاطر المرتبطة بتسريبات IP."
وأضاف لوباسكو أنه "إذا استمدت الجهات الخبيثة مزيدًا من المعلومات من عنوان IP (فكر في تحديد الموقع الجغرافي ، وشبكة GSM ، وما إلى ذلك) ، فيمكنها تحويلها إلى مخاطر مادية ، مثل الاختطاف".
علاوة على ذلك ، يمكن أن يكون هذا الهجوم "مدمرًا أكثر من هجوم رفض الخدمة الموزع (DDoS)" ، وفقًا لما ذكره خبير التشفير. لإجراء مقارنة بسيطة ، يمكن أن يكون هذا الهجوم أقوى بثماني مرات من هجوم Mirai botnet في أكتوبر 2016 الذي أسقط Twitter و Reddit و Spotify و GitHub و Netflix و Airbnb والعديد من المواقع الأكثر شهرة.
قام ألكسندرو بنشر جولة كاملة حول كيفية تنفيذ الهجوم ، من سك NFT إلى نقله إلى الضحية إلى الحصول على عنوان IP وأخيراً ، المساس بالخصوصية أو حتى سرقة أصول التشفير الخاصة بهم. لقد اختبر هذا الهجوم على الإصدار 3.7.0 من تطبيق iOS Metamask ، ولكنه قد يكون هو نفسه أيضًا بالنسبة لإصدار Android. قام بسك NFT على OpenSea ، أكبر سوق لـ NFT ، وقام بتحرير العقد الذكي القياسي ERC-1155 مع ريمكس إيثريوم IDE.
هل قاموا بإصلاحه؟
وفقًا لـ Lupascu ، اكتشف الثغرة الأمنية وعالجها إلى فريق Metamask في 14 ديسمبر 2021 ، لكنهم أهملوا هذه المشكلة واستجابوا لها بحلول الربع الثاني من عام 2. وقال: "بالنسبة لنا ، من غير المقبول ترك مستخدم كبير كهذا قاعدة معرضة للخطر لفترة طويلة ، خاصة إذا كان هذا معروفًا مسبقًا ، كما يقولون ".
بعد عرض هذا البحث للجمهور ، دانيال فينلي ، مؤسس Metamask ، اعترف، "أعتقد أن هذه المشكلة كانت معروفة على نطاق واسع لفترة طويلة ، لذلك لا أعتقد أن فترة الإفشاء تنطبق."
أضاف فينلي ، "أليكس محق في الاتصال بنا لعدم مخاطبته عاجلاً. بدء العمل عليها الآن. شكرا على الركلة في البنطال ، ونأسف لأننا كنا في حاجة إليها ".
ناهيك عن أن ConsenSys ، الشركة الأم لشركة Metamask ، جمعت 200 مليون دولار مع تجاوز Metamask 21 مليون مستخدم نشط شهريًا في نوفمبر 2021. تُستخدم محفظة التشفير الأكثر شيوعًا أيضًا كبوابة لـ 3,700 تطبيق Web 3.0 اللامركزي (dApps).
ما رأيك في هذا الموضوع؟ اكتب لنا وأخبرنا!
إخلاء المسئولية
يتم نشر جميع المعلومات الواردة على موقعنا بحسن نية ولأغراض المعلومات العامة فقط. أي إجراء يتخذه القارئ بشأن المعلومات الموجودة على موقعنا هو على مسؤوليته الخاصة.
المصدر: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/