Selon des recherches récentes, les utilisateurs de portefeuilles cryptographiques Metamask pourraient risquer de perdre tous leurs actifs numériques ou même des menaces physiques. L'analyste en sécurité et cryptographe Alexandru Lupascu, co-fondateur du protocole OMNIA, a découvert cette vulnérabilité dans le populaire portefeuille Web 3.0.
Combien de mal peut-on faire ?
Lupascu a découvert qu'une partie malveillante peut simplement créer un jeton non fongible (NFT) et obtenir l'adresse IP d'un utilisateur en transférant la propriété gratuite de l'art numérique. Un pirate aurait besoin de dépenser aussi peu que 50 $ pour attaquer la vie privée de quelqu'un. Il a mentionné: "Ne sous-estimez pas le risque associé aux fuites IP."
Lupascu a ajouté que "si les acteurs malveillants tirent plus d'informations de l'adresse IP (pensez à la géolocalisation, à l'opérateur GSM, etc.), ils peuvent les transformer en risques physiques, tels que le kidnapping".
De plus, cette attaque peut être plus "dévastatrice qu'une attaque par déni de service distribué (DDoS)", selon le cryptographe. Pour une comparaison simple, cette attaque peut être huit fois plus puissante que l'attaque du botnet Mirai en octobre 2016 qui a détruit Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb et bien d'autres sites Web populaires.
Alexandru a publié une visite complète de la façon dont l'attaque est effectuée, de la frappe d'un NFT à son transfert à la victime pour obtenir l'adresse IP et enfin, compromettre la confidentialité ou même voler leurs actifs cryptographiques. Il a testé cette attaque sur l'application iOS Metamask version 3.7.0, mais il pourrait également en être de même pour la version Android. Il a créé un NFT sur OpenSea, le plus grand marché NFT, et a édité le contrat intelligent standard ERC-1155 avec le Remix EDI Ethereum.
L'ont-ils réparé ?
Selon Lupascu, il a trouvé et adressé la faille de sécurité à l'équipe Metamask le 14 décembre 2021, mais ils ont négligé et ont répondu pour résoudre ce problème d'ici le deuxième trimestre 2. Il a déclaré : « Pour nous, il est inacceptable de laisser un si grand utilisateur base à risque depuis si longtemps, surtout si cela était connu à l'avance, comme on dit.
Après que cette recherche ait été montrée au public, Daniel Finlay, qui est le fondateur de Metamask, admis, "Je pense que ce problème est largement connu depuis longtemps, donc je ne pense pas qu'une période de divulgation s'applique."
Finlay a ajouté: «Alex a raison de nous appeler pour ne pas l'avoir abordé plus tôt. Commencer à travailler dessus maintenant. Merci pour le coup de pied dans le pantalon, et désolé d'en avoir besoin.
Sans oublier, ConsenSys, la société mère de Metamask, a levé 200 millions de dollars avec Metamask dépassant les 21 millions d'utilisateurs actifs mensuels en novembre 2021. Le portefeuille cryptographique le plus populaire est également utilisé comme passerelle vers 3,700 3.0 applications décentralisées Web XNUMX (dApps).
Que pensez-vous de ce sujet ? Écrivez-nous et dites-nous!
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/