Alexandru Lupascu 氏によると、モバイル デバイス経由でアプリケーションにアクセスする MetaMask ユーザーは、 IPアドレスが公開されました。
MetaMask モバイル アプリケーションはユーザーのプライバシーを保証しません
暗号学者はMetaMaskユーザーに対し、プライバシーリスクが存在する可能性があると警告した。
データ保護ノード サービス OMNIA Protocol の共同創設者 Alexandru Lupascu 氏は、ConsenSys の人気のある Web3 ウォレットに重大な脆弱性を発見しました。この脆弱性により、ハッカーがユーザーの IP アドレスにアクセスすることが可能になり、プライバシーのリスクが生じます。 IP アドレスは、インターネットに接続するデバイスに割り当てられるグローバルに一意な識別子です。ユーザーが暗号通貨を MetaMask ウォレットに保管する場合、IP アドレスの脆弱性が大きな問題になります。
ルパスクは upload ブログ投稿では、この脆弱性は、NFT のコレクションを作成し、携帯電話で使用されている MetaMask に接続された Ethereum アドレスにエアドロップすることで悪用できると説明しています。
NFT は、アート、音楽、デジタル ミームなどのコンテンツの所有権を表すデジタル資産です。これらはコンテンツをトークン化する方法を提供しますが、通常は実際のコンテンツを保存しません。イーサリアムのようなブロックチェーンに画像データを保存するとコストがかかるため、NFT にはデータを指す URL (Uniform Resource Locator) が含まれています。 NFT のコンテンツは通常、IPFS などの分散ストレージ ネットワークまたはリモートの集中クラウド サーバーでホストされます。
デフォルトでは、MetaMask モバイル アプリは、URL to image data 関数コマンドを使用して、アドレスに保存されている NFT を表示します。このデータはリモート サーバーに保存されます。このプロセスは、ユーザーの同意なしに実行され、イーサリアムウォレットにどのようなNFTがあるかを表示します。
この取得中に、画像データの送信を処理するすべてのサーバー ポートがユーザーの IP 情報を受信します。一般に、画像データのサーバーを運用するプロジェクトでは、データのセキュリティが確保されています。
ルパスク氏は調査中に、MetaMask ユーザーの IP データを発見し、その情報を悪用して標的型攻撃を開始する可能性のある悪意のある存在を特定しました。ルパスク氏はブログ投稿で次のように説明しています。
「悪意のある人があなたのブロックチェーンアドレスを知っている場合、彼らは自分のサーバーを指すURLを持つNFTを生成し、NFTの所有権をあなたのアドレスに移すことができます。したがって、暗号通貨ウォレットがサーバーからリモート画像を取得すると、プライバシーが侵害されます。」
Lupascu は、ERC-1155 標準に基づいて OpenSea 上に NFT を作成することで脆弱性をテストしました。次に、彼はスマート コントラクト エディターを使用して、NFT に関連付けられた元の URL を変更し、自分の制御下の新しいサーバーを指すようにしました。ルパスクはNFTをイーサリアムアドレスに送信しました。彼が MetaMask モバイル アプリ経由でアドレスにアクセスすると、彼の IP アドレスが彼が管理するサーバーに表示されました。ルパスク氏は、攻撃の実行には約50ドルの費用がかかったと述べた。
Lupascu は、2021 年 3 月中旬にこの問題を MetaMask チームに報告しました。つまり、Web2 ウォレットは少なくとも 2022 か月前からこの問題を認識していたことになります。 MetaMask チームは XNUMX 年第 XNUMX 四半期までにパッチをリリースすると約束していますが、問題の深刻さを考えるとこの期限は「受け入れられない」とルパスク氏は述べています。
MetaMask創設者のダニエル・フィンレー氏は上記の回答で認めた つぶやき ルパスク氏は「この問題は長い間知られていた」と述べた。
「アレックスが問題をもっと早く解決しなかったことについて私たちに苦情を言うのは当然です。パッチ適用を開始します。批判していただきありがとうございます、そして私たちには批判が必要なのです。」
フィンレーも 提供 ウォレットは「デフォルトでは IPFS タイプのマッピングのみをロード」できます。さらに、MetaMask ユーザーは、サードパーティのサーバーでホストされている NFT データの取得に明示的に同意する必要があります。
一方、ルパスク氏は、イーサリアムユーザーはNFTエアドロップを受け取るときに注意し、OpenSea経由でのみアクセスする必要があると考えています。
「モバイル アプリでこの問題が解決されるまでは、OpenSea プラットフォームと Web3 互換ウォレットを使用してコレクションにアクセスしてください。オフチェーンのプライバシーは非常に重要であることを皆さんに思い出させてください – それを無視しないでください。」
過去数か月にわたって、NFTコレクターは攻撃、ハッキング、詐欺により数百万ドルのデジタル資産を失いました。影響を受けたユーザーの多くは、貴重なBored Ape Yacht Club NFTやその他の人気の収集品をMetaMaskウォレットに保管しており、標的にされて詐欺を受けています。 MetaMask はホット ウォレットであるため、泥棒がユーザーの秘密キーを入手すると、比較的簡単に資金を引き出すことができます。ホットウォレットの秘密キーはフィッシングやマルウェア攻撃によって漏洩する可能性があるため、資金にアクセスするために物理デバイスにアクセスする必要があるハードウェアウォレットのようなコールドストレージオプションよりも安全性が低いと考えられています。
MetaMask は、イーサリアムやその他の EVM 互換ブロックチェーン ネットワークにアクセスするための最も人気のある Web3 ウォレットです。データによると、2021 年 21 月の時点で、ウォレットの月間アクティブ ユーザー数は XNUMX 万人を超えています 通知 ConsenSysによるプレス。
CoinCu Telegramに参加して、ニュースを追跡します。 https://t.me/coincunews