Yn ôl ymchwil ddiweddar, gallai defnyddwyr waledi crypto Metamask fod mewn perygl o golli eu holl asedau digidol neu hyd yn oed fygythiadau corfforol. Canfu'r dadansoddwr diogelwch a'r cryptograffydd Alexandru Lupascu, cyd-sylfaenydd protocol OMNIA, y bregusrwydd hwn yn y waled Web 3.0 poblogaidd.
Faint o niwed y gellir ei wneud?
Canfu Lupascu y gall parti maleisus yn syml greu tocyn anffyngadwy (NFT) a chael cyfeiriad IP defnyddiwr trwy drosglwyddo perchnogaeth am ddim ar y gelfyddyd ddigidol. Byddai angen i haciwr wario cyn lleied â $50 i ymosod ar breifatrwydd rhywun. Soniodd, “Peidiwch â diystyru’r risg sy’n gysylltiedig â gollyngiadau IP.”
Ychwanegodd Lupascu “os yw actorion maleisus yn deillio mwy o wybodaeth o’r cyfeiriad IP (meddyliwch am geolocation, cludwr GSM, ac ati), gallant ei droi’n risgiau corfforol, fel herwgipio.”
Ar ben hynny, gall yr ymosodiad hwn fod yn fwy “dinistriol nag ymosodiad Gwrthod Gwasanaeth Dosbarthedig (DDoS),” yn ôl y cryptograffydd. I gael cymhariaeth syml, gall yr ymosodiad hwn fod wyth gwaith yn fwy pwerus nag ymosodiad botnet Mirai ym mis Hydref 2016 a gymerodd i lawr Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb a llawer o wefannau mwy poblogaidd.
Cyhoeddodd Alexandru daith gyflawn o sut mae'r ymosodiad yn cael ei wneud, o fathu NFT i'w drosglwyddo i'r dioddefwr i gael y cyfeiriad IP ac yn olaf, peryglu preifatrwydd neu hyd yn oed ddwyn eu hasedau crypto. Profodd yr ymosodiad hwn ar fersiwn app iOS Metamask 3.7.0, ond gallai hefyd fod yr un peth ar gyfer y fersiwn Android. Bathodd NFT ar OpenSea, marchnad fwyaf yr NFT, a golygodd gontract smart safonol ERC-1155 gyda'r Remix IDE Ethereum.
Wnaethon nhw ei drwsio?
Yn ôl Lupascu, darganfuodd ac aeth i'r afael â'r diffyg diogelwch i dîm Metamask ar Ragfyr 14, 2021, ond fe wnaethant esgeuluso ac ymateb i drwsio'r mater hwn erbyn Ch2 2022. Dywedodd, "I ni, mae'n annerbyniol gadael defnyddiwr mor fawr sylfaen mewn perygl cyhyd, yn enwedig os oedd hyn yn hysbys ymlaen llaw, fel y dywedant.”
Ar ôl i'r ymchwil hwn gael ei ddangos i'r cyhoedd, Daniel Finlay, sef sylfaenydd Metamask, cyfaddefwyd, “Rwy’n meddwl bod y mater hwn wedi bod yn hysbys yn eang ers amser maith, felly nid wyf yn credu bod cyfnod datgelu yn berthnasol.”
Ychwanegodd Finlay, “Mae Alex yn iawn i’n ffonio ni allan am beidio â mynd i’r afael ag ef yn gynt. Dechrau gweithio arno nawr. Diolch am y gic yn y pants, ac mae'n ddrwg gennym ein bod ni ei angen.”
Heb anghofio, cododd ConsenSys, rhiant-gwmni Metamask, $200 miliwn gyda Metamask yn rhagori ar 21 miliwn o ddefnyddwyr gweithredol misol ym mis Tachwedd 2021. Defnyddir y waled crypto mwyaf poblogaidd hefyd fel porth i 3,700 o gymwysiadau datganoledig Web 3.0 (dApps).
Beth ydych chi'n ei feddwl am y pwnc hwn? Ysgrifennwch atom a dywedwch wrthym!
Ymwadiad
Cyhoeddir yr holl wybodaeth a gynhwysir ar ein gwefan yn ddidwyll ac at ddibenion gwybodaeth gyffredinol yn unig. Mae unrhyw gamau y mae'r darllenydd yn eu cymryd ar y wybodaeth a geir ar ein gwefan yn hollol ar ei risg ei hun.
Ffynhonnell: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/