Trang chủ Tạp chí MetaMask biết có lỗ hổng bảo mật nghiêm trọng nhưng vẫn chưa...

MetaMask biết có lỗ hổng bảo mật nghiêm trọng nhưng vẫn chưa vá sau một tháng

Theo Alexandru Lupascu, người dùng MetaMask truy cập ứng dụng trên thiết bị di động có nguy cơ bị lộ địa chỉ IP.

MetaMask

Ứng dụng di động MetaMask không bảo đảm quyền riêng tư cho người dùng

Một nhà mật mã đã cảnh báo người dùng MetaMask có thể gặp rủi ro về quyền riêng tư.

Alexandru Lupascu, đồng sáng lập dịch vụ node quyền riêng tư OMNIA Protocol, đã tìm thấy một lỗ hổng nghiêm trọng trong ví Web3 phổ biến của ConsenSys. Thông qua lỗ hổng này, hacker có thể truy cập địa chỉ IP của người dùng, do đó gây ra rủi ro về quyền riêng tư. Địa chỉ IP là số nhận dạng toàn cầu duy nhất được chỉ định cho một thiết bị kết nối với web. Khi người dùng lưu trữ tiền điện tử trên ví MetaMask, lỗ hổng địa chỉ IP là mối lo ngại lớn.

Lupascu đã đăng tải một bài đăng trên blog giải thích lỗ hổng có thể bị khai thác bằng cách đúc và airdrop một bộ sưu tập NFT tới địa chỉ Ethereum kết nối MetaMask sử dụng trên điện thoại di động.

NFT là tài sản kỹ thuật số biểu thị quyền sở hữu nội dung như nghệ thuật, âm nhạc và meme kỹ thuật số. Chúng cung cấp một phương thức để token hóa nội dung nhưng thường không lưu trữ nội dung thực tế. Vì việc lưu trữ dữ liệu hình ảnh trên một blockchain như Ethereum có thể tốn kém nên các NFT chứa Uniform Resource Locators (URL) chỉ đến dữ liệu. Nội dung cho NFT thường được lưu trữ trên mạng lưu trữ phi tập trung như IPFS hoặc trên các máy chủ đám mây tập trung từ xa.

Theo mặc định, ứng dụng MetaMask dành cho thiết bị di động hiển thị các NFT được lưu trữ trong một địa chỉ sử dụng lệnh hàm URL tới dữ liệu hình ảnh. Dữ liệu này lưu trữ trên các máy chủ từ xa. Quá trình được thực hiện mà không cần có sự đồng ý của người dùng để hiển thị những NFT nào chứa trong ví Ethereum của họ.

Trong quá trình tìm nạp này, tất cả các cổng máy chủ xử lý việc truyền dữ liệu hình ảnh sẽ nhận được thông tin IP của người dùng. Nói chung, các dự án vận hành máy chủ cho dữ liệu hình ảnh bảo đảm dữ liệu được an toàn.

Trong cuộc điều tra của mình, Lupascu xác định các thực thể độc hại có thể tìm thấy dữ liệu IP của người dùng MetaMask và khai thác thông tin để thực hiện các cuộc tấn công có chủ đích. Trong bài đăng trên blog của mình, Lupascu giải thích:

“Nếu kẻ độc hại biết địa chỉ blockchain của bạn, hắn ta có thể tạo ra một NFT có URL chỉ đến máy chủ của chính mình và chuyển quyền sở hữu NFT đến địa chỉ của bạn. Do đó, khi ví tiền điện tử của bạn tìm nạp hình ảnh từ xa từ máy chủ, nó sẽ xâm phạm quyền riêng tư của bạn”.

Lupascu đã kiểm tra lỗ hổng bằng cách tạo một NFT trên OpenSea dựa trên tiêu chuẩn ERC-1155. Sau đó, anh sử dụng một trình soạn thảo hợp đồng thông minh để thay đổi URL ban đầu được liên kết với NFT trỏ đến một máy chủ mới dưới sự kiểm soát của anh. Lupascu đã gửi NFT đến một địa chỉ Ethereum. Khi anh truy cập địa chỉ thông qua ứng dụng di động MetaMask, địa chỉ IP của anh xuất hiện trong máy chủ mà anh kiểm soát. Lupascu cho biết chi phí khoảng 50 đô la để thực hiện vụ tấn công.

Lupascu đã thông báo vấn đề này cho team MetaMask vào giữa tháng 12/2021, có nghĩa là ví Web3 đã biết trong ít nhất một tháng. Nhóm MetaMask hứa sẽ phát hành một bản vá vào quý 2/2022 – khung thời gian mà Lupascu coi là “không thể chấp nhận được” với mức độ nghiêm trọng của vấn đề.

Nhà sáng lập MetaMask, Daniel Finlay, thừa nhận trong một phản hồi trên tweet với Lupascu rằng “vấn đề đã được biết đến trong một thời gian dài”.

“Alex có lý khi phàn nàn chúng tôi vì không giải quyết sớm hơn. Bắt đầu vá nó ngay bây giờ. Cảm ơn vì lời chỉ trích và chúng tôi cần nó”.

Finlay cũng đã đề xuất ví có thể “chỉ tải các liên kết loại IPFS theo mặc định”. Hơn nữa, người dùng MetaMask sẽ phải đồng ý rõ ràng để tìm nạp dữ liệu NFT được lưu trữ trên các máy chủ của bên thứ ba.

Trong khi đó, Lupascu nghĩ rằng người dùng Ethereum nên cảnh giác nếu họ nhận được các NFT airdrop và chỉ nên truy cập chúng thông qua OpenSea.

“Cho đến khi vấn đề này được khắc phục trên ứng dụng di động, hãy sử dụng nền tảng OpenSea với bất kỳ ví nào tương thích với Web3 để truy cập bộ sưu tập của bạn. Một lời nhắc nhở cho mọi người rằng quyền riêng tư off-chain thực sự quan trọng — đừng bỏ qua nó”.

Vào những tháng gần đây, các nhà sưu tầm NFT đã mất hàng triệu đô la tài sản kỹ thuật số do các cuộc tấn công, hack và lừa đảo. Nhiều người dùng bị ảnh hưởng đã lưu trữ NFT có giá trị thuộc Bored Ape Yacht Club và các bộ sưu tập được ưa chuộng khác trên ví MetaMask và bị tấn công, lừa đảo. Vì MetaMask là ví nóng nên kẻ trộm có thể rút tiền tương đối dễ dàng sau khi có khóa riêng tư của người dùng. Vì khóa riêng tư cho ví nóng có thể bị xâm phạm thông qua các cuộc tấn công lừa đảo và phần mềm độc hại nên chúng bị coi là kém an toàn hơn so với các tùy chọn lưu trữ lạnh như ví phần cứng yêu cầu truy cập vào thiết bị vật lý để truy cập tiền.

MetaMask là ví Web3 phổ biến nhất để truy cập Ethereum và các mạng blockchain khác tương thích với EVM. Ví có hơn 21 triệu người dùng hoạt động hàng tháng tính đến tháng 11/2021, theo thông cáo báo chí của ConsenSys.

Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

Đình Đình

Theo Crypto Briefing

MỚI CẬP NHẬT

Avalanche chọn nhóm 15 startup Web3 đầu tiên cho chương trình tăng tốc Codebase

Avalanche đã chọn nhóm đầu tiên, bao gồm 15 startup web3 giai đoạn đầu, cho chương trình tăng tốc Codebase sau khi nhận được gần 250 đơn đăng ký từ hơn 30 quốc gia.  After receiving nearly 250...
near

Tiếp theo là gì cho NEAR khi các đường EMA vừa hình thành golden...

Giá NEAR đang cho thấy những dấu hiệu phục hồi đầy hứa hẹn, với số lượng giao dịch tăng trở lại sau lần giảm...
fantom

Fantom (FTM) chạm trán với mức kháng cự – Giá có thể ngăn chặn...

Hành động giá của Fantom (FTM) đang đối diện với một số ngưỡng kháng cự trong xu hướng tăng, dẫn đến nguy cơ giảm...

Prisma Finance bị hack, thiệt hại ban đầu là 11 triệu USD và có...

Giao thức DeFi hàng đầu Prisma Finance đã trở thành nạn nhân của một vụ hack tinh vi, dẫn đến khoản lỗ đáng kinh...

Liệu meme coin Poodl Inu (POODL) có thể tồn tại đến khi nào –...

 Thế giới tiền điện tử đã xuất hiện rất nhiều meme coin, điều thường thu hút rất nhiều người mới gia nhập thị trường....

CEO Blackrock ngạc nhiên trước phản ứng bán lẻ mạnh mẽ dành cho Bitcoin...

Các quỹ Bitcoin ETF giao ngay đã chứng kiến ​​dòng vốn ròng 243,4 triệu USD, tương đương 3.534,7 BTC vào ngày 27 tháng 3....
BNB

Dự báo giá BNB: Hợp nhất hay cú hích mới trên 645 đô la?

Giá BNB có thể đang chuẩn bị cho một giai đoạn hợp nhất, được biểu thị bằng số lượng giao dịch ổn định trong...

VP Messari: Memecoin sẽ là “con ngựa thành Troia” tiếp theo của không gian...

Memecoin đang ngày càng thể hiện tầm quan trọng trong bối cảnh tiền điện tử và từ đầu năm đến nay, các token mang...
Xu hướng săn presale của Slothana trên Twitter

Xu hướng săn presale của Slothana trên Twitter, meme coin mới trên Solana sẽ...

 Đợt presale của Slothana (SLOTH) đang là xu hướng trên Twitter do có nhiều người nghĩ nó sẽ trở thành đồng meme coin tiếp...

Tin vắn Crypto 28/03: Bitcoin vẫn có khả năng thiết lập ATH mới trước...

Từ nhận định Bitcoin có thể chứng kiến một đợt tăng giá lớn trước halving đến cá voi ẩn danh di chuyển lượng lớn...
Ethereum

13.900 node của Ethereum đang chạy 1 triệu trình xác thực, với 26% nguồn...

Theo thống kê, 13.900 node hỗ trợ mạng Ethereum hiện đang chạy hơn 1 triệu trình xác thực. Việc tăng số lượng trình xác thực...

Giá Qredo (QRDO) có thể tăng gần 300% trong thời gian tới

Giá Qredo (QRDO) đã bứt phá lên trên một đường kháng cự dài hạn và cho thấy các tín hiệu tăng giá quyết định....
altcoin

Nhà phân tích nổi tiếng tiết lộ mùa altcoin sẽ bắt đầu sau 45...

Khi đường chân trời bừng sáng với những dự đoán về mùa altcoin khác, các nhà đầu tư đang tìm kiếm loại tiền điện...
he-lo-ly-do-nha-dau-tu-solana-va-cardano-xon-xao-ve-dot-ban-truoc-cua-algotech

Hé lộ lý do nhà đầu tư Solana và Cardano quan tâm đến đợt...

Trong bối cảnh thị trường tăng trưởng mạnh mẽ, Solana và Cardano, cùng với nhiều cryptocurrency khác, cũng đã gia tăng đáng kể trong...

Giá PEPE đang chuẩn bị cho một bước nhảy vọt khác, đây là lý...

Nguồn cung PEPE trên các sàn giao dịch tập trung (CEX) đã giảm đáng kể chỉ trong một ngày, báo hiệu rằng các holder...

TVL SUI đạt mức cao nhất mọi thời đại trên 724 triệu đô la...

Quan sát các token được xây dựng bằng ngôn ngữ lập trình Move, Sui (SUI) là một ngoại lệ, vượt trội so với Aptos...