MetaMask weiß, dass es eine schwerwiegende Sicherheitslücke gibt, hat sie aber nach einem Monat immer noch nicht gepatcht
Laut Alexandru Lupascu besteht für MetaMask-Benutzer, die über ein mobiles Gerät auf die Anwendung zugreifen, das Risiko, dass sie infiziert werden IP-Adresse offengelegt.
Die mobile MetaMask-Anwendung garantiert keine Privatsphäre des Benutzers
Ein Kryptograf hat MetaMask-Benutzer gewarnt, dass Datenschutzrisiken bestehen könnten.
Alexandru Lupascu, Mitbegründer des Datenschutzknotendienstes OMNIA Protocol, hat eine kritische Schwachstelle im beliebten Web3-Wallet von ConsenSys gefunden. Diese Sicherheitslücke ermöglicht es dem Hacker, auf die IP-Adresse des Benutzers zuzugreifen, was ein Risiko für die Privatsphäre darstellt. Eine IP-Adresse ist eine weltweit eindeutige Kennung, die einem Gerät zugewiesen wird, das eine Verbindung zum Internet herstellt. Wenn Benutzer Kryptowährungen im MetaMask-Wallet speichern, sind Schwachstellen in IP-Adressen ein großes Problem.
Lupascu war laden In einem Blogbeitrag wird erklärt, dass die Schwachstelle ausgenutzt werden kann, indem eine Sammlung von NFTs erstellt und per Luftfracht an eine mit MetaMask verbundene Ethereum-Adresse gesendet wird, die auf einem Mobiltelefon verwendet wird.
NFTs sind digitale Vermögenswerte, die das Eigentum an Inhalten wie Kunst, Musik und digitalen Memes repräsentieren. Sie bieten eine Möglichkeit, Inhalte zu tokenisieren, speichern jedoch normalerweise nicht den eigentlichen Inhalt. Da das Speichern von Bilddaten auf einer Blockchain wie Ethereum teuer sein kann, enthalten NFTs Uniform Resource Locators (URLs), die auf die Daten verweisen. Inhalte für NFTs werden typischerweise in einem dezentralen Speichernetzwerk wie IPFS oder auf entfernten zentralen Cloud-Servern gehostet.
Standardmäßig zeigt die mobile MetaMask-App NFTs an, die an einer Adresse gespeichert sind, indem sie den Funktionsbefehl „URL zu Bilddaten“ verwendet. Diese Daten werden auf Remote-Servern gespeichert. Der Vorgang erfolgt ohne die Zustimmung des Benutzers, um anzuzeigen, welche NFTs sich in seinem Ethereum-Wallet befinden.
Bei diesem Abruf erhalten alle Server-Ports, die die Bilddatenübertragung abwickeln, die IP-Informationen des Nutzers. Generell gewährleisten Projekte, die Server für Bilddaten betreiben, die Sicherheit der Daten.
Während seiner Untersuchung identifizierte Lupascu bösartige Einheiten, die die IP-Daten von MetaMask-Benutzern finden und die Informationen für gezielte Angriffe ausnutzen könnten. In seinem Blogbeitrag erklärt Lupascu:
„Wenn eine böswillige Person Ihre Blockchain-Adresse kennt, kann sie einen NFT mit einer URL generieren, die auf ihren eigenen Server verweist, und den Besitz des NFT auf Ihre Adresse übertragen. Wenn Ihr Krypto-Wallet das Remote-Image vom Server abruft, verletzt es daher Ihre Privatsphäre.“
Lupascu testete die Schwachstelle, indem er ein NFT auf OpenSea basierend auf dem ERC-1155-Standard erstellte. Anschließend nutzte er einen Smart-Contract-Editor, um die mit dem NFT verknüpfte ursprüngliche URL so zu ändern, dass sie auf einen neuen Server unter seiner Kontrolle verweist. Lupascu schickte den NFT an eine Ethereum-Adresse. Als er über die mobile MetaMask-App auf die Adresse zugriff, erschien seine IP-Adresse auf einem von ihm kontrollierten Server. Lupascu sagte, die Durchführung des Angriffs habe etwa 50 US-Dollar gekostet.
Lupascu hat dieses Problem Mitte Dezember 2021 dem MetaMask-Team gemeldet, was bedeutet, dass Web3-Wallets seit mindestens einem Monat davon Kenntnis haben. Das MetaMask-Team verspricht, bis zum zweiten Quartal 2 einen Patch zu veröffentlichen – ein Zeitrahmen, der laut Lupascu angesichts der Schwere des Problems „inakzeptabel“ ist.
MetaMask-Gründer Daniel Finlay gab oben in einer Antwort zu Tweets Lupascu sagte, dass „das Problem schon lange bekannt“ sei.
„Alex hat Recht, wenn er sich bei uns beschwert, weil wir das Problem nicht früher gelöst haben. Beginnen Sie nun mit dem Patchen. Vielen Dank für die Kritik und wir brauchen sie.“
Finlay auch bieten Wallet kann „standardmäßig nur IPFS-Typzuordnungen laden“. Darüber hinaus müssen MetaMask-Benutzer dem Abruf von NFT-Daten, die auf Servern Dritter gehostet werden, ausdrücklich zustimmen.
Unterdessen ist Lupascu der Ansicht, dass Ethereum-Benutzer beim Empfang von NFT-Airdrops vorsichtig sein und nur über OpenSea darauf zugreifen sollten.
„Bis dieses Problem in der mobilen App behoben ist, verwenden Sie die OpenSea-Plattform mit jedem Web3-kompatiblen Wallet, um auf Ihre Sammlung zuzugreifen.“ Eine Erinnerung an alle, dass die Privatsphäre außerhalb der Kette wirklich wichtig ist – ignorieren Sie sie nicht.“
In den letzten Monaten haben NFT-Sammler digitale Vermögenswerte in Millionenhöhe durch Angriffe, Hacks und Betrug verloren. Viele der betroffenen Benutzer haben wertvolle Bored Ape Yacht Club NFTs und andere beliebte Sammlerstücke in MetaMask-Wallets gespeichert und wurden gezielt und betrogen. Da es sich bei MetaMask um ein Hot Wallet handelt, ist es für Diebe relativ einfach, Geld abzuheben, sobald sie den privaten Schlüssel des Benutzers haben. Da private Hot-Wallet-Schlüssel durch Phishing- und Malware-Angriffe kompromittiert werden können, gelten sie als weniger sicher als Cold-Storage-Optionen wie Hardware-Wallets, die Zugriff auf das physische Gerät erfordern, um auf die Gelder zuzugreifen.
MetaMask ist das beliebteste Web3-Wallet für den Zugriff auf Ethereum und andere EVM-kompatible Blockchain-Netzwerke. Den Daten zufolge hat das Wallet im November 2021 mehr als 21 Millionen monatlich aktive Nutzer Hinweise Presse von ConsenSys.
Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews
Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu
Autor
Markt
MetaMask weiß, dass es eine schwerwiegende Sicherheitslücke gibt, hat sie aber nach einem Monat immer noch nicht gepatcht
Laut Alexandru Lupascu besteht für MetaMask-Benutzer, die über ein mobiles Gerät auf die Anwendung zugreifen, das Risiko, dass sie infiziert werden IP-Adresse offengelegt.
Die mobile MetaMask-Anwendung garantiert keine Privatsphäre des Benutzers
Ein Kryptograf hat MetaMask-Benutzer gewarnt, dass Datenschutzrisiken bestehen könnten.
Alexandru Lupascu, Mitbegründer des Datenschutzknotendienstes OMNIA Protocol, hat eine kritische Schwachstelle im beliebten Web3-Wallet von ConsenSys gefunden. Diese Sicherheitslücke ermöglicht es dem Hacker, auf die IP-Adresse des Benutzers zuzugreifen, was ein Risiko für die Privatsphäre darstellt. Eine IP-Adresse ist eine weltweit eindeutige Kennung, die einem Gerät zugewiesen wird, das eine Verbindung zum Internet herstellt. Wenn Benutzer Kryptowährungen im MetaMask-Wallet speichern, sind Schwachstellen in IP-Adressen ein großes Problem.
Lupascu war laden In einem Blogbeitrag wird erklärt, dass die Schwachstelle ausgenutzt werden kann, indem eine Sammlung von NFTs erstellt und per Luftfracht an eine mit MetaMask verbundene Ethereum-Adresse gesendet wird, die auf einem Mobiltelefon verwendet wird.
NFTs sind digitale Vermögenswerte, die das Eigentum an Inhalten wie Kunst, Musik und digitalen Memes repräsentieren. Sie bieten eine Möglichkeit, Inhalte zu tokenisieren, speichern jedoch normalerweise nicht den eigentlichen Inhalt. Da das Speichern von Bilddaten auf einer Blockchain wie Ethereum teuer sein kann, enthalten NFTs Uniform Resource Locators (URLs), die auf die Daten verweisen. Inhalte für NFTs werden typischerweise in einem dezentralen Speichernetzwerk wie IPFS oder auf entfernten zentralen Cloud-Servern gehostet.
Standardmäßig zeigt die mobile MetaMask-App NFTs an, die an einer Adresse gespeichert sind, indem sie den Funktionsbefehl „URL zu Bilddaten“ verwendet. Diese Daten werden auf Remote-Servern gespeichert. Der Vorgang erfolgt ohne die Zustimmung des Benutzers, um anzuzeigen, welche NFTs sich in seinem Ethereum-Wallet befinden.
Bei diesem Abruf erhalten alle Server-Ports, die die Bilddatenübertragung abwickeln, die IP-Informationen des Nutzers. Generell gewährleisten Projekte, die Server für Bilddaten betreiben, die Sicherheit der Daten.
Während seiner Untersuchung identifizierte Lupascu bösartige Einheiten, die die IP-Daten von MetaMask-Benutzern finden und die Informationen für gezielte Angriffe ausnutzen könnten. In seinem Blogbeitrag erklärt Lupascu:
„Wenn eine böswillige Person Ihre Blockchain-Adresse kennt, kann sie einen NFT mit einer URL generieren, die auf ihren eigenen Server verweist, und den Besitz des NFT auf Ihre Adresse übertragen. Wenn Ihr Krypto-Wallet das Remote-Image vom Server abruft, verletzt es daher Ihre Privatsphäre.“
Lupascu testete die Schwachstelle, indem er ein NFT auf OpenSea basierend auf dem ERC-1155-Standard erstellte. Anschließend nutzte er einen Smart-Contract-Editor, um die mit dem NFT verknüpfte ursprüngliche URL so zu ändern, dass sie auf einen neuen Server unter seiner Kontrolle verweist. Lupascu schickte den NFT an eine Ethereum-Adresse. Als er über die mobile MetaMask-App auf die Adresse zugriff, erschien seine IP-Adresse auf einem von ihm kontrollierten Server. Lupascu sagte, die Durchführung des Angriffs habe etwa 50 US-Dollar gekostet.
Lupascu hat dieses Problem Mitte Dezember 2021 dem MetaMask-Team gemeldet, was bedeutet, dass Web3-Wallets seit mindestens einem Monat davon Kenntnis haben. Das MetaMask-Team verspricht, bis zum zweiten Quartal 2 einen Patch zu veröffentlichen – ein Zeitrahmen, der laut Lupascu angesichts der Schwere des Problems „inakzeptabel“ ist.
MetaMask-Gründer Daniel Finlay gab oben in einer Antwort zu Tweets Lupascu sagte, dass „das Problem schon lange bekannt“ sei.
„Alex hat Recht, wenn er sich bei uns beschwert, weil wir das Problem nicht früher gelöst haben. Beginnen Sie nun mit dem Patchen. Vielen Dank für die Kritik und wir brauchen sie.“
Finlay auch bieten Wallet kann „standardmäßig nur IPFS-Typzuordnungen laden“. Darüber hinaus müssen MetaMask-Benutzer dem Abruf von NFT-Daten, die auf Servern Dritter gehostet werden, ausdrücklich zustimmen.
Unterdessen ist Lupascu der Ansicht, dass Ethereum-Benutzer beim Empfang von NFT-Airdrops vorsichtig sein und nur über OpenSea darauf zugreifen sollten.
„Bis dieses Problem in der mobilen App behoben ist, verwenden Sie die OpenSea-Plattform mit jedem Web3-kompatiblen Wallet, um auf Ihre Sammlung zuzugreifen.“ Eine Erinnerung an alle, dass die Privatsphäre außerhalb der Kette wirklich wichtig ist – ignorieren Sie sie nicht.“
In den letzten Monaten haben NFT-Sammler digitale Vermögenswerte in Millionenhöhe durch Angriffe, Hacks und Betrug verloren. Viele der betroffenen Benutzer haben wertvolle Bored Ape Yacht Club NFTs und andere beliebte Sammlerstücke in MetaMask-Wallets gespeichert und wurden gezielt und betrogen. Da es sich bei MetaMask um ein Hot Wallet handelt, ist es für Diebe relativ einfach, Geld abzuheben, sobald sie den privaten Schlüssel des Benutzers haben. Da private Hot-Wallet-Schlüssel durch Phishing- und Malware-Angriffe kompromittiert werden können, gelten sie als weniger sicher als Cold-Storage-Optionen wie Hardware-Wallets, die Zugriff auf das physische Gerät erfordern, um auf die Gelder zuzugreifen.
MetaMask ist das beliebteste Web3-Wallet für den Zugriff auf Ethereum und andere EVM-kompatible Blockchain-Netzwerke. Den Daten zufolge hat das Wallet im November 2021 mehr als 21 Millionen monatlich aktive Nutzer Hinweise Presse von ConsenSys.
Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews
Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu
Aktuelles
Pantera Capital TON-Investition zur Verbesserung der P2P-Zahlungsfunktionen
Aktuelles
Adressfehler führt zu 68 Millionen US-Dollar WBTC-Verlust, Opfer fällt einem Phishing-Betrug zum Opfer
Aktuelles
Die SEC-Klage gegen Coinbase ist noch nicht abgeschlossen, aber die Börse bleibt optimistisch
Aktuelles
EigenLayer Airdrop wurde jetzt aktualisiert, nachdem es bei Benutzern zu Kontroversen kam
Aktuelles
Der Quartalsumsatz von Coinbase erreicht angesichts der Marktaufregung 1.64 Milliarden US-Dollar
Aktuelles
Pantera Capital TON-Investition zur Verbesserung der P2P-Zahlungsfunktionen
Aktuelles
Der Franklin Ethereum ETF ist an der DTCC gelistet, obwohl er noch nicht genehmigt ist
Aktuelles
Dem SEC-Vorsitzenden wird Täuschung über die Legitimität von Ethereum vorgeworfen!
Analyse
April ist der schlechteste Monat für Bitcoin angesichts der ETF-Abflüsse: Bericht
Aktuelles
Roger Ver wurde in Spanien verhaftet und wegen Steuerbetrugs in Höhe von 48 Millionen US-Dollar angeklagt
Wissen
US-Wahlvorhersagen: Die Auswirkungen und die Bedeutung des neuen US-Präsidenten
Aktuelles
