Según Alexandru Lupascu, los usuarios de MetaMask que acceden a la aplicación a través de un dispositivo móvil corren el riesgo de que sus Dirección IP expuesta.

La aplicación móvil MetaMask no garantiza la privacidad del usuario

Un criptógrafo advirtió a los usuarios de MetaMask que podrían existir riesgos de privacidad.

Alexandru Lupascu, cofundador del servicio de nodo de protección de datos OMNIA Protocol, ha encontrado una vulnerabilidad crítica en la popular billetera Web3 de ConsenSys. Esta vulnerabilidad permite que el pirata informático acceda a la dirección IP del usuario, creando un riesgo para la privacidad. Una dirección IP es un identificador único global asignado a un dispositivo que se conecta a Internet. Cuando los usuarios almacenan criptomonedas en la billetera MetaMask, las vulnerabilidades en las direcciones IP son un gran problema.

Lupascu fue subir Una publicación de blog explica que la vulnerabilidad se puede explotar creando una colección de NFT y lanzándolas desde el aire a una dirección Ethereum conectada a MetaMask utilizada en un teléfono móvil.

Los NFT son activos digitales que representan la propiedad de contenidos como arte, música y memes digitales. Proporcionan una forma de tokenizar contenido, pero normalmente no almacenan el contenido real. Debido a que almacenar datos de imágenes en una cadena de bloques como Ethereum puede resultar costoso, las NFT contienen localizadores uniformes de recursos (URL) que apuntan a los datos. El contenido de las NFT suele alojarse en una red de almacenamiento descentralizada como IPFS o en servidores remotos centralizados en la nube.

De forma predeterminada, la aplicación móvil MetaMask muestra los NFT almacenados en una dirección utilizando el comando de función URL para visualizar datos. Estos datos se almacenan en servidores remotos. El proceso se realiza sin el consentimiento del usuario para mostrar qué NFT hay en su billetera Ethereum.

Durante esta recuperación, todos los puertos del servidor que manejan la transmisión de datos de imágenes reciben la información IP del usuario. En general, los proyectos que operan servidores para datos de imágenes garantizan la seguridad de los datos.

Durante su investigación, Lupascu identificó entidades maliciosas que podrían encontrar los datos de IP de los usuarios de MetaMask y explotar la información para lanzar ataques dirigidos. En la publicación de su blog, Lupascu explica:

“Si una persona malintencionada conoce su dirección de blockchain, puede generar un NFT con una URL que apunte a su propio servidor y transferir la propiedad del NFT a su dirección. Por lo tanto, cuando su billetera criptográfica recupera la imagen remota del servidor, invade su privacidad”.

Lupascu probó la vulnerabilidad creando un NFT en OpenSea basado en el estándar ERC-1155. Luego utilizó un editor de contratos inteligentes para cambiar la URL original asociada con el NFT para que apunte a un nuevo servidor bajo su control. Lupascu envió el NFT a una dirección de Ethereum. Cuando accedió a la dirección a través de la aplicación móvil MetaMask, su dirección IP apareció en un servidor que controlaba. Lupascu dijo que llevar a cabo el ataque costó alrededor de 50 dólares.

Lupascu informó este problema al equipo de MetaMask a mediados de diciembre de 2021, lo que significa que las billeteras Web3 lo han sabido durante al menos un mes. El equipo de MetaMask promete lanzar un parche para el segundo trimestre de 2, un plazo que, según Lupascu, es “inaceptable” dada la gravedad del problema.

El fundador de MetaMask, Daniel Finlay, admitió en una respuesta anterior Los Tweets Lupascu afirmó que “el problema se conoce desde hace mucho tiempo”.

“Alex tiene razón al quejarse con nosotros por no haber solucionado el problema antes. Ahora empieza a parchear. Gracias por las críticas y las necesitamos”.

Finlay también LANZAMIENTO Wallet "sólo puede cargar asignaciones de tipo IPFS de forma predeterminada". Además, los usuarios de MetaMask deben dar su consentimiento explícito a la recuperación de datos NFT alojados en servidores de terceros.

Mientras tanto, Lupascu cree que los usuarios de Ethereum deben tener cuidado al recibir lanzamientos aéreos de NFT y acceder a ellos únicamente a través de OpenSea.

“Hasta que este problema se resuelva en la aplicación móvil, utilice la plataforma OpenSea con cualquier billetera compatible con Web3 para acceder a su colección. Un recordatorio para todos de que la privacidad fuera de la cadena es realmente importante: no la ignoren”.

En los últimos meses, los coleccionistas de NFT han perdido millones de dólares en activos digitales debido a ataques, hackeos y fraudes. Muchos de los usuarios afectados han estado almacenando valiosos NFT de Bored Ape Yacht Club y otros objetos de colección populares en billeteras MetaMask y han sido atacados y estafados. Debido a que MetaMask es una billetera activa, es relativamente fácil para los ladrones retirar fondos una vez que tienen la clave privada del usuario. Debido a que las claves privadas de las billeteras activas pueden verse comprometidas mediante ataques de phishing y malware, se consideran menos seguras que las opciones de almacenamiento en frío, como las billeteras de hardware, que requieren acceso al dispositivo físico para acceder a los fondos.

MetaMask es la billetera Web3 más popular para acceder a Ethereum y otras redes blockchain compatibles con EVM. Según los datos, a noviembre de 2021, la billetera tiene más de 21 millones de usuarios activos mensuales. Aviso Prensa de ConsenSys.

Únase a CoinCu Telegram para realizar un seguimiento de las noticias: https://t.me/coincunews

Siga el canal de Youtube de CoinCu | Siga la página de Facebook de CoinCu