MetaMask met en garde ses utilisateurs contre une nouvelle croissance arnaque crypto appelé «empoisonnement de l'adresse», mais la nouvelle est arrivée un peu tard pour certains.
Les portefeuilles de crypto-monnaie peuvent inclure un ou plusieurs comptes, chacun avec sa propre adresse générée par cryptographie, explique MetaMask dans un libérer. Cependant, ces longs nombres hexadécimaux sont intentionnellement difficiles à retenir, nécessitant l'utilisation fréquente du copier-coller. C'est précisément ce dont l'empoisonnement à l'adresse tente de tirer parti.
Comment les adresses deviennent « empoisonnées »
Au lieu d'un piratage sophistiqué qui compromet l'infrastructure d'un protocole, l'empoisonnement des adresses repose plutôt sur la psychologie humaine et la mécanique des transactions cryptographiques. Le scénario suivant en est un bon exemple.
Dans ce cas, l'utilisateur A effectue des transactions régulières avec l'utilisateur B, dont l'attaquant C prend connaissance en utilisant un logiciel qui surveille les transferts de certains jetons, généralement des pièces stables. L'attaquant utilisera alors un générateur d'adresses "vanité" pour créer une adresse de pirate informatique C qui correspond étroitement à l'adresse de l'utilisateur B.
L'attaquant C effectuera alors une transaction de $0 entre l'adresse de l'utilisateur A et l'adresse du pirate C. Cela entraînera l'"empoisonnement" de l'adresse, car l'adresse du pirate C sera mise en cache sur l'adresse de l'utilisateur B pour l'adresse de l'utilisateur A. Étant donné que l'adresse du pirate C partage le Mêmes premiers et derniers 4 chiffres que l'adresse de l'utilisateur B, l'attaquant C espère que l'utilisateur A utilise par inadvertance son adresse lorsqu'il tente d'effectuer une transaction avec l'utilisateur B.
L'arnaque peut facilement être évitée en vérifiant minutieusement les adresses avant de s'engager dans des transactions, aussi fastidieuses soient-elles.
Erreurs de métamasque
Certains utilisateurs sont déçus par le retard dans l'annonce de la nouvelle. "MetaMask documente enfin l'attaque par empoisonnement d'adresse après plus de 2 mois", a tweeté Han Tuzun. Son poste a fourni une lien à un article expliquant l'arnaque avec des détails minutieux datant de début décembre.
Tuzun a en outre averti les utilisateurs des générateurs d'adresses personnalisées qui pourraient générer des adresses presque identiques en quelques secondes. L'utilisateur de Twitter a également chargé les constructeurs d'infrastructures d'avertir suffisamment les utilisateurs de l'interface utilisateur contre de telles attaques.
Ce dernier revers pour MetaMask survient après avoir fait face à une forte réaction du public suite à une mise à jour de ses politiques de conservation des données. L'entreprise a mis à jour sa politique de confidentialité à la fin de l'année dernière, ce qui a conduit à des rapports selon lesquels cela entraînerait la collecte des portefeuilles et des adresses IP des utilisateurs.
Cela a rapidement conduit à une réponse passionnée de la communauté crypto, qui a suscité un message du développeur ConsenSys le 6 décembre, pour tenter de rassurer ses utilisateurs.
Clause de non-responsabilité
BeInCrypto a contacté une entreprise ou une personne impliquée dans l'histoire pour obtenir une déclaration officielle sur les développements récents, mais elle n'a pas encore reçu de réponse.
Source : https://beincrypto.com/metamask-addresses-latest-scam-late-for-some/