چاپ

نسیم گیلان - خطر جدی برای کاربران کیف پول متامسک
سایز متن الف الف
لینک کوتاه در کلیبرد کپی شد! http://akhr.ir/8813589
24
0
رمزارز نیوز / بر اساس نتایج تحقیقات اخیر، کاربران کیف پول متامسک (Metamask) ممکن است در معرض خطر از دست دادن تمام دارایی‌های دیجیتال خود یا حتی تهدیدات فیزیکی باشند. الکساندر لوپاسکو (Alexandru Lupascu)، تحلیل‌گر امنیتی و هم‌بنیان‌گذار پروتکل OMNIA، یک آسیب‌پذیری امنیتی جدی را در کیف پول محبوب متامسک شناسایی کرده است.
لوپاسکو متوجه شد که مهاجم به سادگی می‌تواند یک توکن غیرقابل تعویض (NFT) را ایجاد کرده و با انتقال رایگان مالکیت این هنر دیجیتال، آدرس IP کاربران را به دست آورد. به گفته لوپاسکو، هکر برای حمله به حریم خصوصی افراد باید حداقل 50 دلار هزینه کند.
وی خاطرنشان کرد:
خطرات مرتبط با افشای IP را دست کم نگیرید. اگر مهاجم با استفاده از آدرس IP اطلاعات بیشتری را به دست آورد (مانند موقعیت جغرافیایی، حامل GSM و غیره)، او می‌تواند خطرات فیزیکی، مانند آدم‌ربایی را نیز برنامه‌ریزی کند.
علاوه بر این، به گفته لوپاسکو، این حمله می‌تواند ویرانگرتر از یک حمله منع سرویس توزیع‌شده (DDoS) باشد. برای مقایسه، این حمله می‌تواند هشت برابر قدرتمندتر از حمله بات‌نت میرای (Mirai) در اکتبر سال 2016 میلادی باشد که توییتر، ردیت، اسپاتیفای، گیت هاب، نتفلیکس، ایربی‌‌ان‌بی (Airbnb) و بسیاری از وبسایت‌های محبوب دیگر را تحت تأثیر قرار داد.
لوپاسکو چگونگی انجام این حمله، از ایجاد یک توکن NFT و انتقال آن به قربانی گرفته تا دریافت آدرس IP و در نهایت، به خطر انداختن حریم خصوصی یا حتی سرقت دارایی‌ رمزارزی آنها، را منتشر کرده است. او این حمله را روی نسخه 3٫7٫0 متامسک iOS آزمایش کرد، اما ممکن است برای نسخه اندروید نیز همینطور باشد. برای این منظور، او یک توکن NFT را در بازار بزرگ اوپن‌سی (OpenSea) ایجاد کرده و قرارداد هوشمند استاندارد ERC-1155 را با Remix Ethereum IDE ویرایش کرد.
به گفته لوپاسکو، او این نقص امنیتی را در تاریخ 14 دسامبر 2021 کشف کرده و به تیم متامسک گزارش داده است، اما آنها اعلام کردند که این مشکل را در سه ماه دوم 2022 رفع خواهند کرد. لوپاسکو گفت:
برای ما غیرقابل قبول است که چنین پایگاه کاربری بزرگی را برای مدت طولانی در معرض خطر رها کنیم.
پس از این‌که نتایج این تحقیق به صورت عمومی منتشر شد، دنیل فینلی (Daniel Finlay)، بنیان‌گذار متامسک، اعتراف کرد:
این مشکل مدت زمان زیادی است که شناسایی شده، بنابراین فکر نمی‌کنم دوره افشا اعمال شود. الکس حق دارد از ما بخواهد که زودتر به آن رسیدگی کنیم. هم‌اکنون کار روی آن را شروع کنید. برای این تلنگر متشکرم و متاسفم که به آن نیاز داشتیم.
لازم به ذکر است که در نوامبر 2021، تعداد کاربران فعال ماهانه کیف پول متامسک از 21 میلیون فراتر رفت. این کیف پول محبوب‌ رمزارزی همچنین به عنوان دروازه‌ای به 3،700 برنامه غیرمتمرکز (dApps) وب 3 شناخته می‌شود.