अलेक्जेंड्रू लुपास्कु के अनुसार, मेटामास्क उपयोगकर्ता जो मोबाइल डिवाइस के माध्यम से एप्लिकेशन तक पहुंचते हैं, उनके जोखिम का सामना करना पड़ता है आईपी ​​पता उजागर.

मेटामास्क मोबाइल एप्लिकेशन उपयोगकर्ता की गोपनीयता की गारंटी नहीं देता है

एक क्रिप्टोग्राफर ने मेटामास्क उपयोगकर्ताओं को चेतावनी दी है कि गोपनीयता जोखिम मौजूद हो सकते हैं।

डेटा सुरक्षा नोड सेवा OMNIA प्रोटोकॉल के सह-संस्थापक एलेक्जेंड्रू लुपास्कु ने कंसेंसिस के लोकप्रिय वेब 3 वॉलेट में एक महत्वपूर्ण भेद्यता पाई है। यह भेद्यता हैकर को उपयोगकर्ता के आईपी पते तक पहुंचने की अनुमति देती है, जिससे गोपनीयता जोखिम पैदा होता है। आईपी ​​एड्रेस एक विश्व स्तर पर विशिष्ट पहचानकर्ता है जो इंटरनेट से कनेक्ट होने वाले डिवाइस को सौंपा जाता है। जब उपयोगकर्ता मेटामास्क वॉलेट में क्रिप्टोकरेंसी संग्रहीत करते हैं, तो आईपी पते में कमजोरियां एक बड़ी समस्या होती हैं।

लुपास्कु था अपलोड एक ब्लॉग पोस्ट में बताया गया है कि एनएफटी के संग्रह को ढालकर और उन्हें मोबाइल फोन पर इस्तेमाल किए गए मेटामास्क-कनेक्टेड एथेरियम पते पर एयरड्रॉप करके भेद्यता का फायदा उठाया जा सकता है।

एनएफटी डिजिटल संपत्तियां हैं जो कला, संगीत और डिजिटल मेम जैसी सामग्री के स्वामित्व का प्रतिनिधित्व करती हैं। वे सामग्री को टोकनाइज़ करने का एक तरीका प्रदान करते हैं, लेकिन आम तौर पर वास्तविक सामग्री को संग्रहीत नहीं करते हैं। क्योंकि एथेरियम जैसे ब्लॉकचेन पर छवि डेटा संग्रहीत करना महंगा हो सकता है, एनएफटी में डेटा की ओर इशारा करने वाले यूनिफ़ॉर्म रिसोर्स लोकेटर (यूआरएल) होते हैं। एनएफटी के लिए सामग्री आमतौर पर विकेंद्रीकृत भंडारण नेटवर्क जैसे आईपीएफएस या दूरस्थ केंद्रीकृत क्लाउड सर्वर पर होस्ट की जाती है।

डिफ़ॉल्ट रूप से, मेटामास्क मोबाइल ऐप यूआरएल टू इमेज डेटा फ़ंक्शन कमांड का उपयोग करके एक पते में संग्रहीत एनएफटी प्रदर्शित करता है। यह डेटा रिमोट सर्वर पर संग्रहीत होता है। यह प्रक्रिया उपयोगकर्ता की सहमति के बिना यह दिखाने के लिए की जाती है कि उनके एथेरियम वॉलेट में एनएफटी क्या हैं।

इस पुनर्प्राप्ति के दौरान, छवि डेटा ट्रांसमिशन को संभालने वाले सभी सर्वर पोर्ट उपयोगकर्ता की आईपी जानकारी प्राप्त करते हैं। सामान्य तौर पर, छवि डेटा के लिए सर्वर संचालित करने वाली परियोजनाएं डेटा की सुरक्षा सुनिश्चित करती हैं।

अपनी जांच के दौरान, लुपास्कु ने दुर्भावनापूर्ण संस्थाओं की पहचान की जो मेटामास्क उपयोगकर्ताओं के आईपी डेटा को ढूंढ सकती हैं और लक्षित हमले शुरू करने के लिए जानकारी का फायदा उठा सकती हैं। अपने ब्लॉग पोस्ट में, लुपास्कु बताते हैं:

“यदि कोई दुर्भावनापूर्ण व्यक्ति आपके ब्लॉकचेन पते को जानता है, तो वे अपने स्वयं के सर्वर की ओर इशारा करते हुए यूआरएल के साथ एक एनएफटी उत्पन्न कर सकते हैं और एनएफटी के स्वामित्व को आपके पते पर स्थानांतरित कर सकते हैं। इसलिए, जब आपका क्रिप्टो वॉलेट सर्वर से दूरस्थ छवि पुनर्प्राप्त करता है, तो यह आपकी गोपनीयता पर आक्रमण करता है।

लुपास्कु ने ERC-1155 मानक के आधार पर OpenSea पर एक NFT बनाकर भेद्यता का परीक्षण किया। फिर उन्होंने अपने नियंत्रण में एक नए सर्वर को इंगित करने के लिए एनएफटी से जुड़े मूल यूआरएल को बदलने के लिए एक स्मार्ट अनुबंध संपादक का उपयोग किया। लुपास्कु ने एनएफटी को एथेरियम पते पर भेजा। जब उसने मेटामास्क मोबाइल ऐप के माध्यम से पता एक्सेस किया, तो उसका आईपी पता उसके द्वारा नियंत्रित सर्वर पर दिखाई दिया। लुपास्कू ने कहा कि हमले को अंजाम देने में लगभग 50 डॉलर का खर्च आया।

लुपास्कू ने दिसंबर 2021 के मध्य में मेटामास्क टीम को इस मुद्दे की सूचना दी, जिसका अर्थ है कि वेब3 वॉलेट को कम से कम एक महीने से इसके बारे में पता है। मेटामास्क टीम ने 2 की दूसरी तिमाही तक एक पैच जारी करने का वादा किया है - लुपास्कु का कहना है कि समस्या की गंभीरता को देखते हुए यह समय सीमा "अस्वीकार्य" है।

मेटामास्क के संस्थापक डैनियल फिनले ने उपरोक्त उत्तर में स्वीकार किया tweets लुपास्कु ने कहा कि "समस्या लंबे समय से ज्ञात है"।

“समस्या का शीघ्र समाधान न करने के लिए एलेक्स का हमसे शिकायत करना सही है। अब पैचिंग शुरू करें. आलोचना के लिए धन्यवाद और हमें इसकी आवश्यकता है।”

फिनले भी प्रस्ताव वॉलेट "डिफ़ॉल्ट रूप से केवल IPFS प्रकार की मैपिंग लोड कर सकता है"। इसके अलावा, मेटामास्क उपयोगकर्ताओं को तीसरे पक्ष के सर्वर पर होस्ट किए गए एनएफटी डेटा की पुनर्प्राप्ति के लिए स्पष्ट रूप से सहमति देनी होगी।

इस बीच, लुपास्कु का मानना ​​​​है कि एथेरियम उपयोगकर्ताओं को एनएफटी एयरड्रॉप प्राप्त करते समय सावधान रहना चाहिए और केवल ओपनसी के माध्यम से उन तक पहुंच प्राप्त करनी चाहिए।

“जब तक मोबाइल ऐप में यह समस्या हल नहीं हो जाती, अपने संग्रह तक पहुंचने के लिए किसी भी Web3 संगत वॉलेट के साथ OpenSea प्लेटफ़ॉर्म का उपयोग करें। सभी के लिए एक अनुस्मारक कि ऑफ-चेन गोपनीयता वास्तव में महत्वपूर्ण है - इसे अनदेखा न करें।

पिछले कुछ महीनों में, एनएफटी संग्राहकों को हमलों, हैक और धोखाधड़ी के कारण डिजिटल संपत्तियों में लाखों डॉलर का नुकसान हुआ है। प्रभावित उपयोगकर्ताओं में से कई मेटामास्क वॉलेट में मूल्यवान बोरेड एप यॉट क्लब एनएफटी और अन्य लोकप्रिय संग्रहणीय वस्तुएं संग्रहीत कर रहे हैं और उन्हें लक्षित और घोटाला किया गया है। क्योंकि मेटामास्क एक हॉट वॉलेट है, एक बार उपयोगकर्ता की निजी कुंजी मिल जाने के बाद चोरों के लिए धन निकालना अपेक्षाकृत आसान हो जाता है। क्योंकि फ़िशिंग और मैलवेयर हमलों के माध्यम से हॉट वॉलेट निजी कुंजियों से समझौता किया जा सकता है, उन्हें हार्डवेयर वॉलेट जैसे कोल्ड स्टोरेज विकल्पों की तुलना में कम सुरक्षित माना जाता है, जिन्हें धन तक पहुंचने के लिए भौतिक डिवाइस तक पहुंच की आवश्यकता होती है।

एथेरियम और अन्य ईवीएम-संगत ब्लॉकचेन नेटवर्क तक पहुंचने के लिए मेटामास्क सबसे लोकप्रिय वेब3 वॉलेट है। आंकड़ों के मुताबिक, नवंबर 2021 तक वॉलेट में 21 मिलियन से अधिक मासिक सक्रिय उपयोगकर्ता हैं नोटिस कंसेंसिस द्वारा दबाएँ।

समाचारों पर नज़र रखने के लिए CoinCu टेलीग्राम से जुड़ें: https://t.me/coincunews

CoinCu Youtube चैनल को फॉलो करें | CoinCu फेसबुक पेज को फॉलो करें