Theo Alexandru Lupascu, người dùng MetaMask truy cập ứng dụng qua thiết bị di động có nguy cơ bị lỗi Địa chỉ IP bị lộ.

Ứng dụng di động MetaMask không đảm bảo quyền riêng tư của người dùng

Một nhà mật mã học đã cảnh báo người dùng MetaMask rằng có thể tồn tại những rủi ro về quyền riêng tư.

Alexandru Lupascu, người đồng sáng lập dịch vụ nút bảo vệ dữ liệu OMNIA Protocol, đã tìm thấy một lỗ hổng nghiêm trọng trong ví Web3 phổ biến của ConsenSys. Lỗ hổng này cho phép hacker truy cập địa chỉ IP của người dùng, tạo ra rủi ro về quyền riêng tư. Địa chỉ IP là mã định danh duy nhất trên toàn cầu được gán cho thiết bị kết nối với internet. Khi người dùng lưu trữ tiền điện tử trong ví MetaMask, lỗ hổng trong địa chỉ IP là một vấn đề lớn.

Lupascu là tải lên Một bài đăng trên blog giải thích rằng lỗ hổng này có thể bị khai thác bằng cách tạo ra một bộ sưu tập NFT và chuyển chúng đến địa chỉ Ethereum được kết nối với MetaMask được sử dụng trên điện thoại di động.

NFT là tài sản kỹ thuật số thể hiện quyền sở hữu nội dung như nghệ thuật, âm nhạc và meme kỹ thuật số. Chúng cung cấp cách mã hóa nội dung nhưng thường không lưu trữ nội dung thực tế. Vì việc lưu trữ dữ liệu hình ảnh trên blockchain như Ethereum có thể tốn kém nên NFT chứa Bộ định vị tài nguyên thống nhất (URL) trỏ đến dữ liệu. Nội dung dành cho NFT thường được lưu trữ trên mạng lưu trữ phi tập trung như IPFS hoặc trên các máy chủ đám mây tập trung từ xa.

Theo mặc định, ứng dụng di động MetaMask hiển thị NFT được lưu trữ trong một địa chỉ bằng cách sử dụng lệnh chức năng URL tới dữ liệu hình ảnh. Dữ liệu này được lưu trữ trên các máy chủ từ xa. Quá trình này được thực hiện mà không có sự đồng ý của người dùng để hiển thị NFT trong ví Ethereum của họ.

Trong quá trình truy xuất này, tất cả các cổng máy chủ xử lý việc truyền dữ liệu hình ảnh đều nhận được thông tin IP của người dùng. Nhìn chung, các dự án vận hành máy chủ lưu trữ dữ liệu hình ảnh đều đảm bảo tính bảo mật của dữ liệu.

Trong quá trình điều tra, Lupascu đã xác định được các thực thể độc hại có thể tìm thấy dữ liệu IP của người dùng MetaMask và khai thác thông tin đó để thực hiện các cuộc tấn công có chủ đích. Trong bài đăng trên blog của mình, Lupascu giải thích:

“Nếu một kẻ độc hại biết địa chỉ blockchain của bạn, họ có thể tạo NFT có URL trỏ đến máy chủ của chính họ và chuyển quyền sở hữu NFT sang địa chỉ của bạn. Do đó, khi ví tiền điện tử của bạn lấy hình ảnh từ xa từ máy chủ, nó sẽ xâm phạm quyền riêng tư của bạn”.

Lupascu đã kiểm tra lỗ hổng này bằng cách tạo NFT trên OpenSea dựa trên tiêu chuẩn ERC-1155. Sau đó, anh ta sử dụng trình chỉnh sửa hợp đồng thông minh để thay đổi URL ban đầu được liên kết với NFT để trỏ đến máy chủ mới dưới sự kiểm soát của anh ta. Lupascu đã gửi NFT đến một địa chỉ Ethereum. Khi anh truy cập địa chỉ đó thông qua ứng dụng di động MetaMask, địa chỉ IP của anh xuất hiện trên máy chủ mà anh kiểm soát. Lupascu cho biết chi phí để thực hiện vụ tấn công là khoảng 50 USD.

Lupascu đã báo cáo vấn đề này với nhóm MetaMask vào giữa tháng 2021 năm 3, điều đó có nghĩa là các ví Web2 đã biết về vấn đề này ít nhất một tháng. Nhóm MetaMask hứa sẽ phát hành bản vá vào quý 2022 năm XNUMX – khung thời gian mà Lupascu nói là “không thể chấp nhận được” do mức độ nghiêm trọng của vấn đề.

Người sáng lập MetaMask Daniel Finlay đã thừa nhận trong câu trả lời ở trên tweet của quý vị Lupascu cho rằng “vấn đề này đã được biết từ lâu”.

“Alex đã đúng khi phàn nàn với chúng tôi vì đã không giải quyết vấn đề sớm hơn. Bây giờ bắt đầu vá. Cảm ơn vì những lời chỉ trích và chúng tôi cần điều đó.”

Finlay cũng vậy cung cấp Ví có thể “chỉ tải ánh xạ loại IPFS theo mặc định”. Ngoài ra, người dùng MetaMask phải đồng ý rõ ràng với việc truy xuất dữ liệu NFT được lưu trữ trên máy chủ của bên thứ ba.

Trong khi đó, Lupascu tin rằng người dùng Ethereum nên cẩn thận khi nhận airdrop NFT và chỉ truy cập chúng thông qua OpenSea.

“Cho đến khi vấn đề này được giải quyết trong ứng dụng di động, hãy sử dụng nền tảng OpenSea với bất kỳ ví tương thích Web3 nào để truy cập vào bộ sưu tập của bạn. Một lời nhắc nhở cho mọi người rằng quyền riêng tư ngoài chuỗi thực sự quan trọng – đừng bỏ qua nó.”

Trong vài tháng qua, những người thu thập NFT đã mất hàng triệu đô la tài sản kỹ thuật số do các cuộc tấn công, hack và lừa đảo. Nhiều người dùng bị ảnh hưởng đã lưu trữ NFT có giá trị của Bored Ape Yacht Club và các đồ sưu tầm phổ biến khác trong ví MetaMask và đã trở thành mục tiêu và lừa đảo. Vì MetaMask là ví nóng nên kẻ trộm tương đối dễ dàng rút tiền khi chúng có khóa riêng của người dùng. Vì khóa riêng của ví nóng có thể bị xâm phạm thông qua các cuộc tấn công lừa đảo và phần mềm độc hại nên chúng được coi là kém an toàn hơn so với các tùy chọn lưu trữ lạnh như ví phần cứng vốn yêu cầu quyền truy cập vào thiết bị vật lý để truy cập vào tiền.

MetaMask là ví Web3 phổ biến nhất để truy cập Ethereum và các mạng blockchain tương thích EVM khác. Theo dữ liệu, tính đến tháng 2021 năm 21, ví này có hơn XNUMX triệu người dùng hoạt động hàng tháng Chú ý Báo chí của ConsenSys.

Tham gia CoinCu Telegram để theo dõi tin tức: https://t.me/coincunews

Theo dõi kênh Youtube CoinCu | Theo dõi trang Facebook của CoinCu