Es wurde eine kritische Sicherheitslücke gefunden, die die Benutzerdaten von 21 Millionen Metamasken gefährden könnte

Es wurde eine kritische Sicherheitslücke gefunden, die die Benutzerdaten von 21 Millionen Metamasken gefährden könnte

Jüngsten Untersuchungen zufolge könnten Benutzer der Metamask-Krypto-Wallet dem Risiko ausgesetzt sein, alle ihre digitalen Vermögenswerte oder sogar physische Bedrohungen zu verlieren. Der Sicherheitsanalyst und Kryptograph Alexandru Lupascu, Mitbegründer des OMNIA-Protokolls, fand diese Schwachstelle in der beliebten Web-3.0-Wallet.

Wie schlimm kann es sein?

Lupascu fand heraus, dass ein Angreifer einfach ein nicht fungibles Token (NFT) erstellen und die IP-Adresse eines Benutzers erhalten kann, indem er das freie Eigentum an digitaler Kunst überträgt. Ein Hacker müsste mindestens 50 US-Dollar ausgeben, um die Privatsphäre einer Person anzugreifen. Er sagte: „Unterschätzen Sie nicht das Risiko, das mit IP-Lecks verbunden ist.“

Lupascu fügte hinzu: „Wenn böswillige Akteure mehr Informationen von der IP-Adresse erhalten (denken Sie an Geolokalisierung, GSM-Betreiber usw.), können sie daraus physische Risiken wie Entführungen machen.“

Darüber hinaus kann dieser Angriff laut dem Kryptografen „verheerender sein als ein Distributed Denial of Service (DDoS)-Angriff“. Zum einfachen Vergleich: Dieser Angriff ist möglicherweise achtmal stärker als der Mirai-Botnet- Angriff vom Oktober 2016, der Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb und viele andere beliebte Websites lahmlegte.

Alexandru hat eine umfassende Tour darüber veröffentlicht , wie der Angriff durchgeführt wird, von der Prägung einer NFT über die Übertragung an das Opfer, um die IP-Adresse zu erhalten, bis hin zur Gefährdung ihrer Privatsphäre oder sogar zum Diebstahl ihrer Krypto-Assets. Er testete diesen Angriff auf der Version 3.7.0 der Metamask iOS-App, aber es könnte auch für die Android-Version dasselbe sein. Er prägte eine NFT auf OpenSea, dem größten NFT-Markt, und modifizierte den ERC-1155-Standard-Smart-Contract mit Remix Ethereum IDE .

Haben sie es repariert?

Laut Lupascu hat er die Sicherheitslücke am 14. Dezember 2021 gefunden und an das Metamask-Team weitergeleitet, aber sie haben dieses Problem übersehen und darauf reagiert, um es bis zum zweiten Quartal 2022 zu beheben. Er sagte: „Es ist inakzeptabel, dass wir eine so große Benutzerbasis hinterlassen . so lange gefährdet, besonders wenn man es vorher wusste, wie man so schön sagt“.

Nachdem diese Forschung der Öffentlichkeit gezeigt wurde, gab Daniel Finlay, Gründer von Metamask, zu : "Ich denke, dieses Problem ist seit langem allgemein bekannt, daher denke ich nicht, dass eine Offenlegungsfrist gilt."

Finlay fügte hinzu: „Alex hat Recht, uns anzurufen, weil wir uns nicht früher mit ihm befasst haben. Ich fange jetzt an, daran zu arbeiten. Danke für den Tritt in die Hose und es tut mir leid, dass wir ihn gebraucht haben.

Nicht zu vergessen, ConsenSys, die Muttergesellschaft von Metamask, sammelte mit Metamask im November 2021 200 Millionen US-Dollar und überschritt 21 Millionen monatlich aktive Benutzer. Die beliebteste Krypto-Wallet wird auch als Gateway zu 3.700 dezentralen Web 3.0-Anwendungen (dApps) verwendet.

Was denkst du über dieses Thema? Schreiben Sie uns und sagen Sie es uns !

Die entdeckte postkritische Schwachstelle, die 21 Millionen Metamask-Benutzerdaten gefährden könnte, trat zuerst auf BeInCrypto auf.