Foi encontrada uma vulnerabilidade crítica que pode colocar em risco os dados do usuário de 21 milhões de metamáscaras

Foi encontrada uma vulnerabilidade crítica que pode colocar em risco os dados do usuário de 21 milhões de metamáscaras

De acordo com pesquisas recentes, os usuários da carteira de criptomoedas Metamask podem correr o risco de perder todos os seus ativos digitais ou até mesmo ameaças físicas. O analista de segurança e criptógrafo Alexandru Lupascu, cofundador do protocolo OMNIA, encontrou essa vulnerabilidade na popular carteira Web 3.0.

Quão ruim pode ser feito?

Lupascu descobriu que um invasor pode simplesmente criar um token não fungível (NFT) e obter o endereço IP de um usuário transferindo a propriedade gratuita da arte digital. Um hacker teria que gastar no mínimo US$ 50 para atacar a privacidade de alguém. Ele disse: "Não subestime o risco associado a vazamentos de IP".

Lupascu acrescentou que "se atores maliciosos obtiverem mais informações do endereço IP (pense em geolocalização, operadora GSM, etc.), eles podem transformá-los em riscos físicos, como sequestro".

Além disso, esse ataque pode ser mais "devastador do que um ataque de negação de serviço distribuído (DDoS)", de acordo com o criptógrafo. Para uma comparação simples, esse ataque pode ser oito vezes mais poderoso do que o ataque de botnet Mirai de outubro de 2016 que derrubou Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb e muitos outros sites populares.

Alexandru postou um tour abrangente de como o ataque é realizado, desde a criação de um NFT até a transferência para a vítima para obter o endereço IP e, finalmente, comprometer sua privacidade ou até mesmo roubar seus ativos de criptografia. Ele testou esse ataque no aplicativo Metamask iOS versão 3.7.0, mas também pode ser o mesmo para a versão Android. Ele cunhou um NFT no OpenSea, o maior mercado de NFT, e modificou o contrato inteligente padrão ERC-1155 com o Remix Ethereum IDE .

Eles consertaram?

De acordo com Lupascu, ele encontrou e encaminhou a falha de segurança para a equipe Metamask em 14 de dezembro de 2021, mas eles ignoraram e responderam para corrigir esse problema no segundo trimestre de 2022. Ele disse: "É inaceitável que deixemos uma base de usuários tão grande . em risco por tanto tempo, especialmente se você soubesse com antecedência, como se costuma dizer ".

Depois que essa pesquisa foi mostrada ao público, Daniel Finlay, fundador da Metamask, admitiu : "Acho que esse problema é amplamente conhecido há muito tempo, então não acho que um período de divulgação se aplique".

Finlay acrescentou: "Alex está certo em nos ligar por não lidar com ele mais cedo. Estou começando a trabalhar nisso agora. Obrigado pelo chute nas calças e desculpe por precisarmos.

Para não esquecer, a ConsenSys, empresa controladora da Metamask, arrecadou US$ 200 milhões com a Metamask ultrapassando 21 milhões de usuários ativos mensais em novembro de 2021. A carteira de criptomoedas mais popular também é usada como porta de entrada para 3.700 aplicativos Web 3.0 descentralizados (dApps).

O que você pensa sobre este tema? Escreva-nos e conte-nos !

A vulnerabilidade pós-crítica detectada que poderia colocar em risco 21 milhões de dados de usuários de metamask apareceu pela primeira vez no BeInCrypto .