Trovata una vulnerabilità critica che potrebbe mettere a rischio i dati di 21 milioni di utenti di Metamask

Trovata una vulnerabilità critica che potrebbe mettere a rischio i dati di 21 milioni di utenti di Metamask

Secondo una recente ricerca, gli utenti del portafoglio di criptovalute Metamask potrebbero essere a rischio di perdere tutti i loro beni digitali o anche minacce fisiche. L’analista di sicurezza e crittografo Alexandru Lupascu, il co-fondatore del protocollo OMNIA, ha trovato questa vulnerabilità nel popolare portafoglio Web 3.0.

Quanto danno può essere fatto?

Lupascu ha scoperto che un malintenzionato può semplicemente creare un token non fungibile (NFT) e ottenere l’indirizzo IP di un utente trasferendo gratuitamente la proprietà dell’arte digitale. Un hacker avrebbe bisogno di spendere solo 50 dollari per attaccare la privacy di qualcuno. Ha menzionato: “Non sottovalutate il rischio associato alle fughe di IP”.

Lupascu ha aggiunto che “se gli attori malintenzionati ricavano più informazioni dall’indirizzo IP (si pensi alla geolocalizzazione, al vettore GSM, ecc.), possono trasformarlo in rischi fisici, come il rapimento”

Inoltre, questo attacco può essere più “devastante di un attacco Distributed Denial of Service (DDoS)”, secondo il crittografo. Per un semplice confronto, questo attacco può essere otto volte più potente dell’attacco botnet Mirai nell’ottobre 2016 che ha abbattuto Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb e molti altri siti popolari.

Alexandru ha pubblicato un tour completo di come viene effettuato l’attacco, dal conio di un NFT al trasferimento alla vittima per ottenere l’indirizzo IP e, infine, compromettere la privacy o addirittura rubare i loro beni crypto. Ha testato questo attacco sull’app Metamask per iOS versione 3.7.0, ma potrebbe essere lo stesso anche per la versione Android. Ha coniato un NFT su OpenSea, il più grande mercato di NFT, e ha modificato lo smart contract standard ERC-1155 con l’IDE Remix Ethereum.

Hanno risolto il problema?

Secondo Lupascu, ha trovato e indirizzato la falla di sicurezza al team Metamask il 14 dicembre 2021, ma hanno trascurato e risposto di risolvere questo problema entro il 2° trimestre 2022. Ha detto: “Per noi, è inaccettabile lasciare una base di utenti così grande a rischio per così tanto tempo, soprattutto se questo era noto in anticipo, come dicono.”

Dopo che questa ricerca è stata mostrata al pubblico, Daniel Finlay, che è il fondatore di Metamask, ha ammesso: “Penso che questo problema sia ampiamente noto da molto tempo, quindi non credo che si applichi un periodo di divulgazione.”

Finlay ha aggiunto: “Alex ha ragione a chiamarci per non averlo affrontato prima. Stiamo iniziando a lavorarci ora. Grazie per il calcio nei pantaloni, e scusate se ne avevamo bisogno”

Da non dimenticare, ConsenSys, la società madre di Metamask, ha raccolto 200 milioni di dollari con Metamask che ha superato i 21 milioni di utenti attivi mensili nel novembre 2021. Il portafoglio di criptovalute più popolare è anche usato come un gateway per 3.700 applicazioni decentralizzate Web 3.0 (dApps).

Cosa ne pensi di questo argomento? Scrivici e diccelo!

Disclaimer

Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione che il lettore intraprende in base alle informazioni trovate sul nostro sito web è strettamente a proprio rischio e pericolo.

Altre storie
Top 5 Metaverse Crypto Coins sotto i 200 milioni di dollari di Market Cap da tenere d’occhio nel marzo 2022
Top 5 Metaverse Crypto Coins sotto i 200 milioni di dollari di Market Cap da tenere d’occhio nel marzo 2022