据 Alexandru Lupascu 称,通过移动设备访问该应用程序的 MetaMask 用户面临着被攻击的风险。 IP 地址暴露。
MetaMask 移动应用程序不保证用户隐私
密码学家警告 MetaMask 用户可能存在隐私风险。
数据保护节点服务 OMNIA Protocol 的联合创始人 Alexandru Lupascu 在 ConsenSys 流行的 Web3 钱包中发现了一个严重漏洞。该漏洞允许黑客访问用户的IP地址,从而造成隐私风险。 IP 地址是分配给连接到互联网的设备的全球唯一标识符。当用户将加密货币存储在 MetaMask 钱包中时,IP 地址的漏洞是一个大问题。
卢帕斯库是 上传 一篇博客文章解释说,可以通过铸造一组 NFT 并将它们空投到手机上使用的 MetaMask 连接的以太坊地址来利用该漏洞。
NFT 是代表艺术、音乐和数字模因等内容所有权的数字资产。它们提供了一种标记内容的方法,但通常不存储实际内容。由于在以太坊等区块链上存储图像数据的成本可能很高,因此 NFT 包含指向数据的统一资源定位器 (URL)。 NFT 的内容通常托管在 IPFS 等去中心化存储网络或远程集中式云服务器上。
默认情况下,MetaMask 移动应用程序使用 URL 到图像数据功能命令显示存储在地址中的 NFT。该数据存储在远程服务器上。该过程是在未经用户同意的情况下完成的,以显示其以太坊钱包中有哪些 NFT。
在此检索期间,所有处理图像数据传输的服务器端口都会接收用户的IP信息。一般来说,运行图像数据服务器的项目可以保证数据的安全。
在调查过程中,Lupascu 发现恶意实体可以找到 MetaMask 用户的 IP 数据并利用这些信息发起有针对性的攻击。 Lupascu 在他的博客文章中解释道:
“如果恶意者知道你的区块链地址,他们就可以生成一个 NFT,其 URL 指向他们自己的服务器,并将 NFT 的所有权转移到你的地址。因此,当你的加密钱包从服务器检索远程图像时,它就侵犯了你的隐私。”
Lupascu 通过在 OpenSea 上基于 ERC-1155 标准创建 NFT 来测试该漏洞。然后,他使用智能合约编辑器更改与 NFT 关联的原始 URL,使其指向他控制下的新服务器。 Lupascu 将 NFT 发送到以太坊地址。当他通过 MetaMask 移动应用程序访问该地址时,他的 IP 地址出现在他控制的服务器上。 Lupascu 表示,实施这次攻击的成本约为 50 美元。
Lupascu 于 2021 年 3 月中旬向 MetaMask 团队报告了这个问题,这意味着 Web2 钱包已经意识到这个问题至少一个月了。 MetaMask 团队承诺在 2022 年第二季度之前发布补丁,Lupascu 表示,考虑到问题的严重性,这个时间范围是“不可接受的”。
MetaMask 创始人 Daniel Finlay 在上面的回答中承认 鸣叫 卢帕斯库表示,“这个问题早已为人所知”。
“亚历克斯向我们抱怨没有尽快解决问题是正确的。现在开始打补丁。感谢您的批评,我们需要它。”
芬利也是 提供 钱包“默认只加载IPFS类型映射”。此外,MetaMask 用户必须明确同意检索第三方服务器上托管的 NFT 数据。
同时,Lupascu 认为以太坊用户在接收 NFT 空投时应该小心,只能通过 OpenSea 访问它们。
“在移动应用程序中解决此问题之前,请使用 OpenSea 平台与任何 Web3 兼容的钱包来访问您的收藏。提醒大家,链下隐私非常重要——不要忽视它。”
在过去的几个月里,NFT 收藏者因攻击、黑客和欺诈而损失了数百万美元的数字资产。许多受影响的用户一直在 MetaMask 钱包中存储有价值的 Bored Ape Yacht Club NFT 和其他受欢迎的收藏品,并成为目标和诈骗对象。由于MetaMask是热钱包,因此窃贼一旦掌握了用户的私钥,就可以相对容易地提取资金。由于热钱包私钥可能会通过网络钓鱼和恶意软件攻击而受到损害,因此它们被认为不如硬件钱包等冷存储选项安全,后者需要访问物理设备才能访问资金。
MetaMask 是最流行的 Web3 钱包,用于访问以太坊和其他 EVM 兼容的区块链网络。数据显示,截至2021年21月,该钱包月活跃用户超过XNUMX万 通知 由 ConsenSys 出版社。
加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews
作者
市场
MetaMask 知道存在严重漏洞,但一个月后仍然没有修补它
据 Alexandru Lupascu 称,通过移动设备访问该应用程序的 MetaMask 用户面临着被攻击的风险。 IP 地址暴露。
MetaMask 移动应用程序不保证用户隐私
密码学家警告 MetaMask 用户可能存在隐私风险。
数据保护节点服务 OMNIA Protocol 的联合创始人 Alexandru Lupascu 在 ConsenSys 流行的 Web3 钱包中发现了一个严重漏洞。该漏洞允许黑客访问用户的IP地址,从而造成隐私风险。 IP 地址是分配给连接到互联网的设备的全球唯一标识符。当用户将加密货币存储在 MetaMask 钱包中时,IP 地址的漏洞是一个大问题。
卢帕斯库是 上传 一篇博客文章解释说,可以通过铸造一组 NFT 并将它们空投到手机上使用的 MetaMask 连接的以太坊地址来利用该漏洞。
NFT 是代表艺术、音乐和数字模因等内容所有权的数字资产。它们提供了一种标记内容的方法,但通常不存储实际内容。由于在以太坊等区块链上存储图像数据的成本可能很高,因此 NFT 包含指向数据的统一资源定位器 (URL)。 NFT 的内容通常托管在 IPFS 等去中心化存储网络或远程集中式云服务器上。
默认情况下,MetaMask 移动应用程序使用 URL 到图像数据功能命令显示存储在地址中的 NFT。该数据存储在远程服务器上。该过程是在未经用户同意的情况下完成的,以显示其以太坊钱包中有哪些 NFT。
在此检索期间,所有处理图像数据传输的服务器端口都会接收用户的IP信息。一般来说,运行图像数据服务器的项目可以保证数据的安全。
在调查过程中,Lupascu 发现恶意实体可以找到 MetaMask 用户的 IP 数据并利用这些信息发起有针对性的攻击。 Lupascu 在他的博客文章中解释道:
“如果恶意者知道你的区块链地址,他们就可以生成一个 NFT,其 URL 指向他们自己的服务器,并将 NFT 的所有权转移到你的地址。因此,当你的加密钱包从服务器检索远程图像时,它就侵犯了你的隐私。”
Lupascu 通过在 OpenSea 上基于 ERC-1155 标准创建 NFT 来测试该漏洞。然后,他使用智能合约编辑器更改与 NFT 关联的原始 URL,使其指向他控制下的新服务器。 Lupascu 将 NFT 发送到以太坊地址。当他通过 MetaMask 移动应用程序访问该地址时,他的 IP 地址出现在他控制的服务器上。 Lupascu 表示,实施这次攻击的成本约为 50 美元。
Lupascu 于 2021 年 3 月中旬向 MetaMask 团队报告了这个问题,这意味着 Web2 钱包已经意识到这个问题至少一个月了。 MetaMask 团队承诺在 2022 年第二季度之前发布补丁,Lupascu 表示,考虑到问题的严重性,这个时间范围是“不可接受的”。
MetaMask 创始人 Daniel Finlay 在上面的回答中承认 鸣叫 卢帕斯库表示,“这个问题早已为人所知”。
“亚历克斯向我们抱怨没有尽快解决问题是正确的。现在开始打补丁。感谢您的批评,我们需要它。”
芬利也是 提供 钱包“默认只加载IPFS类型映射”。此外,MetaMask 用户必须明确同意检索第三方服务器上托管的 NFT 数据。
同时,Lupascu 认为以太坊用户在接收 NFT 空投时应该小心,只能通过 OpenSea 访问它们。
“在移动应用程序中解决此问题之前,请使用 OpenSea 平台与任何 Web3 兼容的钱包来访问您的收藏。提醒大家,链下隐私非常重要——不要忽视它。”
在过去的几个月里,NFT 收藏者因攻击、黑客和欺诈而损失了数百万美元的数字资产。许多受影响的用户一直在 MetaMask 钱包中存储有价值的 Bored Ape Yacht Club NFT 和其他受欢迎的收藏品,并成为目标和诈骗对象。由于MetaMask是热钱包,因此窃贼一旦掌握了用户的私钥,就可以相对容易地提取资金。由于热钱包私钥可能会通过网络钓鱼和恶意软件攻击而受到损害,因此它们被认为不如硬件钱包等冷存储选项安全,后者需要访问物理设备才能访问资金。
MetaMask 是最流行的 Web3 钱包,用于访问以太坊和其他 EVM 兼容的区块链网络。数据显示,截至2021年21月,该钱包月活跃用户超过XNUMX万 通知 由 ConsenSys 出版社。
加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews
