Selon Alexandru Lupascu, les utilisateurs de MetaMask qui accèdent à l'application via un appareil mobile courent le risque de voir leur Adresse IP exposée.

L'application mobile MetaMask ne garantit pas la confidentialité des utilisateurs

Un cryptographe a averti les utilisateurs de MetaMask qu'il pourrait exister des risques pour la vie privée.

Alexandru Lupascu, co-fondateur du service de nœud de protection des données OMNIA Protocol, a découvert une vulnérabilité critique dans le populaire portefeuille Web3 de ConsenSys. Cette vulnérabilité permet au pirate informatique d'accéder à l'adresse IP de l'utilisateur, créant ainsi un risque pour la vie privée. Une adresse IP est un identifiant unique au monde attribué à un appareil qui se connecte à Internet. Lorsque les utilisateurs stockent des crypto-monnaies dans le portefeuille MetaMask, les vulnérabilités des adresses IP constituent un gros problème.

Lupascu était télécharger Un article de blog explique que la vulnérabilité peut être exploitée en créant une collection de NFT et en les larguant vers une adresse Ethereum connectée à MetaMask utilisée sur un téléphone mobile.

Les NFT sont des actifs numériques qui représentent la propriété de contenus tels que l'art, la musique et les mèmes numériques. Ils fournissent un moyen de tokeniser le contenu, mais ne stockent généralement pas le contenu réel. Étant donné que le stockage de données d'image sur une blockchain comme Ethereum peut être coûteux, les NFT contiennent des localisateurs de ressources uniformes (URL) pointant vers les données. Le contenu des NFT est généralement hébergé sur un réseau de stockage décentralisé tel que IPFS ou sur des serveurs cloud centralisés à distance.

Par défaut, l'application mobile MetaMask affiche les NFT stockés dans une adresse à l'aide de la commande de fonction URL vers image data. Ces données sont stockées sur des serveurs distants. Le processus est effectué sans le consentement de l'utilisateur pour montrer quels sont les NFT dans son portefeuille Ethereum.

Lors de cette récupération, tous les ports du serveur qui gèrent la transmission des données d'image reçoivent les informations IP de l'utilisateur. En général, les projets qui exploitent des serveurs de données d'images assurent la sécurité des données.

Au cours de son enquête, Lupascu a identifié des entités malveillantes qui pourraient trouver les données IP des utilisateurs de MetaMask et exploiter ces informations pour lancer des attaques ciblées. Dans son article de blog, Lupascu explique :

« Si une personne malveillante connaît votre adresse blockchain, elle peut générer un NFT avec une URL pointant vers son propre serveur et transférer la propriété du NFT à votre adresse. Par conséquent, lorsque votre portefeuille crypto récupère l’image distante du serveur, cela envahit votre vie privée.

Lupascu a testé la vulnérabilité en créant un NFT sur OpenSea basé sur la norme ERC-1155. Il a ensuite utilisé un éditeur de contrat intelligent pour modifier l'URL d'origine associée au NFT afin de pointer vers un nouveau serveur sous son contrôle. Lupascu a envoyé le NFT à une adresse Ethereum. Lorsqu'il a accédé à l'adresse via l'application mobile MetaMask, son adresse IP est apparue sur un serveur qu'il contrôlait. Lupascu a déclaré que l'attaque avait coûté environ 50 dollars.

Lupascu a signalé ce problème à l'équipe MetaMask à la mi-décembre 2021, ce qui signifie que les portefeuilles Web3 en sont conscients depuis au moins un mois. L’équipe MetaMask promet de publier un correctif d’ici le deuxième trimestre 2 – un délai qui, selon Lupascu, est « inacceptable » compte tenu de la gravité du problème.

Le fondateur de MetaMask, Daniel Finlay, l'a admis dans une réponse ci-dessus tweets Lupascu a déclaré que « le problème est connu depuis longtemps ».

« Alex a raison de nous plaindre de ne pas avoir résolu le problème plus tôt. Maintenant, commencez à appliquer les correctifs. Merci pour les critiques et nous en avons besoin.

Finlay aussi code Wallet peut « charger uniquement les mappages de type IPFS par défaut ». De plus, les utilisateurs de MetaMask doivent consentir explicitement à la récupération des données NFT hébergées sur des serveurs tiers.

Pendant ce temps, Lupascu estime que les utilisateurs d’Ethereum doivent être prudents lorsqu’ils reçoivent des parachutages NFT et y accéder uniquement via OpenSea.

« Jusqu'à ce que ce problème soit résolu dans l'application mobile, utilisez la plateforme OpenSea avec n'importe quel portefeuille compatible Web3 pour accéder à votre collection. Un rappel à tous que la confidentialité hors chaîne est vraiment importante – ne l'ignorez pas.

Au cours des derniers mois, les collectionneurs de NFT ont perdu des millions de dollars en actifs numériques à cause d'attaques, de piratages et de fraudes. De nombreux utilisateurs concernés ont stocké de précieux NFT du Bored Ape Yacht Club et d'autres objets de collection populaires dans des portefeuilles MetaMask et ont été ciblés et arnaqués. Étant donné que MetaMask est un portefeuille chaud, il est relativement facile pour les voleurs de retirer des fonds une fois qu'ils disposent de la clé privée de l'utilisateur. Étant donné que les clés privées des portefeuilles chauds peuvent être compromises par des attaques de phishing et de logiciels malveillants, elles sont considérées comme moins sécurisées que les options de stockage à froid telles que les portefeuilles matériels, qui nécessitent un accès au périphérique physique pour accéder aux fonds.

MetaMask est le portefeuille Web3 le plus populaire pour accéder à Ethereum et à d'autres réseaux blockchain compatibles EVM. Selon les données, en novembre 2021, le portefeuille comptait plus de 21 millions d'utilisateurs actifs par mois. Avertissement Appuyez sur ConsenSys.

Rejoignez CoinCu Telegram pour suivre l'actualité : https://t.me/coincunews

Suivez la chaîne Youtube CoinCu | Suivez la page Facebook de CoinCu