Alexandru Lupascu에 따르면 모바일 장치를 통해 애플리케이션에 액세스하는 MetaMask 사용자는 IP 주소가 노출되었습니다.
MetaMask 모바일 애플리케이션은 사용자 개인 정보 보호를 보장하지 않습니다
암호학자는 MetaMask 사용자에게 개인 정보 보호 위험이 존재할 수 있다고 경고했습니다.
데이터 보호 노드 서비스 OMNIA 프로토콜의 공동 창립자인 Alexandru Lupascu는 ConsenSys의 인기 있는 Web3 지갑에서 심각한 취약점을 발견했습니다. 이 취약점을 통해 해커는 사용자의 IP 주소에 접근할 수 있어 개인 정보 보호 위험이 발생합니다. IP 주소는 인터넷에 연결되는 장치에 할당된 전역적으로 고유한 식별자입니다. 사용자가 메타마스크 지갑에 암호화폐를 보관할 때 IP 주소의 취약점이 큰 문제가 됩니다.
루파스쿠는 업로드 한 블로그 게시물에서는 NFT 모음을 생성하고 이를 휴대폰에서 사용되는 MetaMask 연결 이더리움 주소에 에어드롭함으로써 취약점을 악용할 수 있다고 설명합니다.
NFT는 예술, 음악, 디지털 밈과 같은 콘텐츠의 소유권을 나타내는 디지털 자산입니다. 콘텐츠를 토큰화하는 방법을 제공하지만 일반적으로 실제 콘텐츠를 저장하지는 않습니다. Ethereum과 같은 블록체인에 이미지 데이터를 저장하는 것은 비용이 많이 들 수 있기 때문에 NFT에는 데이터를 가리키는 URL(Uniform Resource Locator)이 포함되어 있습니다. NFT용 콘텐츠는 일반적으로 IPFS와 같은 분산형 스토리지 네트워크 또는 원격 중앙 집중식 클라우드 서버에서 호스팅됩니다.
기본적으로 MetaMask 모바일 앱은 URL to image data 기능 명령을 사용하여 주소에 저장된 NFT를 표시합니다. 이 데이터는 원격 서버에 저장됩니다. 이 프로세스는 Ethereum 지갑에 어떤 NFT가 있는지 보여주기 위한 사용자의 동의 없이 수행됩니다.
이 검색 과정에서 이미지 데이터 전송을 처리하는 모든 서버 포트는 사용자의 IP 정보를 수신합니다. 일반적으로 이미지 데이터를 위한 서버를 운영하는 프로젝트는 데이터의 보안을 보장합니다.
조사 과정에서 Lupascu는 MetaMask 사용자의 IP 데이터를 찾아 해당 정보를 악용하여 표적 공격을 실행할 수 있는 악의적인 개체를 식별했습니다. 그의 블로그 게시물에서 Lupascu는 다음과 같이 설명합니다.
“악의적인 사람이 귀하의 블록체인 주소를 알고 있다면, 자신의 서버를 가리키는 URL을 사용하여 NFT를 생성하고 NFT 소유권을 귀하의 주소로 이전할 수 있습니다. 따라서 암호화폐 지갑이 서버에서 원격 이미지를 검색하면 개인 정보가 침해됩니다.”
Lupascu는 ERC-1155 표준을 기반으로 OpenSea에서 NFT를 생성하여 취약점을 테스트했습니다. 그런 다음 그는 스마트 계약 편집기를 사용하여 NFT와 관련된 원래 URL을 변경하여 자신이 관리하는 새 서버를 가리키도록 했습니다. Lupascu는 NFT를 이더리움 주소로 보냈습니다. 그가 MetaMask 모바일 앱을 통해 주소에 접속하자, 그가 관리하는 서버에 그의 IP 주소가 나타났습니다. Lupascu는 공격을 수행하는 데 약 50달러의 비용이 든다고 말했습니다.
Lupascu는 2021년 3월 중순에 MetaMask 팀에 이 문제를 보고했습니다. 이는 Web2 지갑이 최소 한 달 동안 이 문제를 인지했다는 의미입니다. MetaMask 팀은 2022년 XNUMX분기까지 패치를 출시할 것을 약속합니다. Lupascu는 문제의 심각성을 고려할 때 이 기간은 "받아들일 수 없는" 기간이라고 말합니다.
MetaMask 창립자 Daniel Finlay는 위의 답변에서 인정했습니다. 트윗 루파스쿠는 “이 문제는 오랫동안 알려져 왔다”고 말했다.
“Alex가 문제를 더 빨리 해결하지 못했다고 우리에게 불평한 것은 옳습니다. 이제 패치를 시작합니다. 비판해 주셔서 감사하고 우리에게는 그것이 필요합니다.”
핀레이도요 제공 지갑은 "기본적으로 IPFS 유형 매핑만 로드"할 수 있습니다. 또한 MetaMask 사용자는 타사 서버에서 호스팅되는 NFT 데이터 검색에 명시적으로 동의해야 합니다.
한편 Lupascu는 Ethereum 사용자가 NFT 에어드랍을 받을 때 주의해야 하며 OpenSea를 통해서만 액세스해야 한다고 믿습니다.
“이 문제가 모바일 앱에서 해결될 때까지 Web3 호환 지갑과 함께 OpenSea 플랫폼을 사용하여 컬렉션에 액세스하십시오. 오프체인 개인정보 보호가 정말 중요하다는 점을 모든 사람에게 상기시켜 드립니다. 이를 무시하지 마십시오.”
지난 몇 달 동안 NFT 수집가들은 공격, 해킹, 사기로 인해 수백만 달러의 디지털 자산을 잃었습니다. 영향을 받은 사용자 중 다수는 귀중한 Bored Ape Yacht Club NFT 및 기타 인기 수집품을 MetaMask 지갑에 저장해 왔으며 표적이 되어 사기를 당했습니다. MetaMask는 핫 지갑이기 때문에 도둑이 사용자의 개인 키를 갖고 있으면 자금을 인출하는 것이 상대적으로 쉽습니다. 핫 지갑 개인 키는 피싱 및 맬웨어 공격을 통해 손상될 수 있기 때문에 자금에 액세스하려면 물리적 장치에 액세스해야 하는 하드웨어 지갑과 같은 콜드 스토리지 옵션보다 덜 안전한 것으로 간주됩니다.
MetaMask는 Ethereum 및 기타 EVM 호환 블록체인 네트워크에 액세스하기 위한 가장 인기 있는 Web3 지갑입니다. 데이터에 따르면 2021년 21월 현재 지갑의 월간 활성 사용자는 XNUMX만 명 이상입니다. 주의 ConsenSys의 보도 자료입니다.
뉴스를 추적하려면 CoinCu Telegram에 가입하십시오: https://t.me/coincunews
저자
시장
MetaMask는 심각한 취약점이 있음을 알고 있지만 한 달이 지나도 여전히 패치를 적용하지 않았습니다.
Alexandru Lupascu에 따르면 모바일 장치를 통해 애플리케이션에 액세스하는 MetaMask 사용자는 IP 주소가 노출되었습니다.
MetaMask 모바일 애플리케이션은 사용자 개인 정보 보호를 보장하지 않습니다
암호학자는 MetaMask 사용자에게 개인 정보 보호 위험이 존재할 수 있다고 경고했습니다.
데이터 보호 노드 서비스 OMNIA 프로토콜의 공동 창립자인 Alexandru Lupascu는 ConsenSys의 인기 있는 Web3 지갑에서 심각한 취약점을 발견했습니다. 이 취약점을 통해 해커는 사용자의 IP 주소에 접근할 수 있어 개인 정보 보호 위험이 발생합니다. IP 주소는 인터넷에 연결되는 장치에 할당된 전역적으로 고유한 식별자입니다. 사용자가 메타마스크 지갑에 암호화폐를 보관할 때 IP 주소의 취약점이 큰 문제가 됩니다.
루파스쿠는 업로드 한 블로그 게시물에서는 NFT 모음을 생성하고 이를 휴대폰에서 사용되는 MetaMask 연결 이더리움 주소에 에어드롭함으로써 취약점을 악용할 수 있다고 설명합니다.
NFT는 예술, 음악, 디지털 밈과 같은 콘텐츠의 소유권을 나타내는 디지털 자산입니다. 콘텐츠를 토큰화하는 방법을 제공하지만 일반적으로 실제 콘텐츠를 저장하지는 않습니다. Ethereum과 같은 블록체인에 이미지 데이터를 저장하는 것은 비용이 많이 들 수 있기 때문에 NFT에는 데이터를 가리키는 URL(Uniform Resource Locator)이 포함되어 있습니다. NFT용 콘텐츠는 일반적으로 IPFS와 같은 분산형 스토리지 네트워크 또는 원격 중앙 집중식 클라우드 서버에서 호스팅됩니다.
기본적으로 MetaMask 모바일 앱은 URL to image data 기능 명령을 사용하여 주소에 저장된 NFT를 표시합니다. 이 데이터는 원격 서버에 저장됩니다. 이 프로세스는 Ethereum 지갑에 어떤 NFT가 있는지 보여주기 위한 사용자의 동의 없이 수행됩니다.
이 검색 과정에서 이미지 데이터 전송을 처리하는 모든 서버 포트는 사용자의 IP 정보를 수신합니다. 일반적으로 이미지 데이터를 위한 서버를 운영하는 프로젝트는 데이터의 보안을 보장합니다.
조사 과정에서 Lupascu는 MetaMask 사용자의 IP 데이터를 찾아 해당 정보를 악용하여 표적 공격을 실행할 수 있는 악의적인 개체를 식별했습니다. 그의 블로그 게시물에서 Lupascu는 다음과 같이 설명합니다.
“악의적인 사람이 귀하의 블록체인 주소를 알고 있다면, 자신의 서버를 가리키는 URL을 사용하여 NFT를 생성하고 NFT 소유권을 귀하의 주소로 이전할 수 있습니다. 따라서 암호화폐 지갑이 서버에서 원격 이미지를 검색하면 개인 정보가 침해됩니다.”
Lupascu는 ERC-1155 표준을 기반으로 OpenSea에서 NFT를 생성하여 취약점을 테스트했습니다. 그런 다음 그는 스마트 계약 편집기를 사용하여 NFT와 관련된 원래 URL을 변경하여 자신이 관리하는 새 서버를 가리키도록 했습니다. Lupascu는 NFT를 이더리움 주소로 보냈습니다. 그가 MetaMask 모바일 앱을 통해 주소에 접속하자, 그가 관리하는 서버에 그의 IP 주소가 나타났습니다. Lupascu는 공격을 수행하는 데 약 50달러의 비용이 든다고 말했습니다.
Lupascu는 2021년 3월 중순에 MetaMask 팀에 이 문제를 보고했습니다. 이는 Web2 지갑이 최소 한 달 동안 이 문제를 인지했다는 의미입니다. MetaMask 팀은 2022년 XNUMX분기까지 패치를 출시할 것을 약속합니다. Lupascu는 문제의 심각성을 고려할 때 이 기간은 "받아들일 수 없는" 기간이라고 말합니다.
MetaMask 창립자 Daniel Finlay는 위의 답변에서 인정했습니다. 트윗 루파스쿠는 “이 문제는 오랫동안 알려져 왔다”고 말했다.
“Alex가 문제를 더 빨리 해결하지 못했다고 우리에게 불평한 것은 옳습니다. 이제 패치를 시작합니다. 비판해 주셔서 감사하고 우리에게는 그것이 필요합니다.”
핀레이도요 제공 지갑은 "기본적으로 IPFS 유형 매핑만 로드"할 수 있습니다. 또한 MetaMask 사용자는 타사 서버에서 호스팅되는 NFT 데이터 검색에 명시적으로 동의해야 합니다.
한편 Lupascu는 Ethereum 사용자가 NFT 에어드랍을 받을 때 주의해야 하며 OpenSea를 통해서만 액세스해야 한다고 믿습니다.
“이 문제가 모바일 앱에서 해결될 때까지 Web3 호환 지갑과 함께 OpenSea 플랫폼을 사용하여 컬렉션에 액세스하십시오. 오프체인 개인정보 보호가 정말 중요하다는 점을 모든 사람에게 상기시켜 드립니다. 이를 무시하지 마십시오.”
지난 몇 달 동안 NFT 수집가들은 공격, 해킹, 사기로 인해 수백만 달러의 디지털 자산을 잃었습니다. 영향을 받은 사용자 중 다수는 귀중한 Bored Ape Yacht Club NFT 및 기타 인기 수집품을 MetaMask 지갑에 저장해 왔으며 표적이 되어 사기를 당했습니다. MetaMask는 핫 지갑이기 때문에 도둑이 사용자의 개인 키를 갖고 있으면 자금을 인출하는 것이 상대적으로 쉽습니다. 핫 지갑 개인 키는 피싱 및 맬웨어 공격을 통해 손상될 수 있기 때문에 자금에 액세스하려면 물리적 장치에 액세스해야 하는 하드웨어 지갑과 같은 콜드 스토리지 옵션보다 덜 안전한 것으로 간주됩니다.
MetaMask는 Ethereum 및 기타 EVM 호환 블록체인 네트워크에 액세스하기 위한 가장 인기 있는 Web3 지갑입니다. 데이터에 따르면 2021년 21월 현재 지갑의 월간 활성 사용자는 XNUMX만 명 이상입니다. 주의 ConsenSys의 보도 자료입니다.
뉴스를 추적하려면 CoinCu Telegram에 가입하십시오: https://t.me/coincunews
