De acordo com pesquisas recentes, os usuários da carteira de criptomoedas Metamask podem correr o risco de perder todos os seus ativos digitais ou até mesmo ameaças físicas. O analista de segurança e criptógrafo Alexandru Lupascu, cofundador do protocolo OMNIA, encontrou essa vulnerabilidade na popular carteira Web 3.0.
Quanto mal pode ser feito?
Lupascu descobriu que uma parte mal-intencionada pode simplesmente criar um token não fungível (NFT) e obter o endereço IP de um usuário transferindo a propriedade gratuita da arte digital. Um hacker precisaria gastar até US$ 50 para atacar a privacidade de alguém. Ele mencionou: “Não subestime o risco associado a vazamentos de IP”.
Lupascu acrescentou que “se atores mal-intencionados obtiverem mais informações do endereço IP (pense em geolocalização, operadora GSM, etc.), eles podem transformá-los em riscos físicos, como sequestro”.
Além disso, esse ataque pode ser mais “devastador do que um ataque de negação de serviço distribuído (DDoS)”, de acordo com o criptógrafo. Para uma comparação simples, esse ataque pode ser oito vezes mais poderoso do que o ataque do botnet Mirai em outubro de 2016, que derrubou Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb e muitos outros sites populares.
Alexandru publicou um tour completo de como o ataque é feito, desde cunhar um NFT até transferi-lo para a vítima, obter o endereço IP e, por último, comprometer a privacidade ou até mesmo roubar seus ativos de criptografia. Ele testou esse ataque no aplicativo iOS Metamask versão 3.7.0, mas também pode ser o mesmo para a versão Android. Ele cunhou um NFT no OpenSea, o maior mercado de NFT, e editou o contrato inteligente padrão ERC-1155 com o Remix IDE Ethereum.
Eles consertaram?
De acordo com Lupascu, ele encontrou e abordou a falha de segurança para a equipe Metamask em 14 de dezembro de 2021, mas eles negligenciaram e responderam para corrigir esse problema no segundo trimestre de 2. Ele disse: “Para nós, é inaceitável deixar um usuário tão grande base em risco por tanto tempo, especialmente se isso fosse conhecido de antemão, como eles dizem.”
Depois que esta pesquisa foi mostrada ao público, Daniel Finlay, que é o fundador da Metamask, admitiu, “Acho que esse problema é amplamente conhecido há muito tempo, então não acho que um período de divulgação se aplique.”
Finlay acrescentou: “Alex está certo em nos avisar por não resolvermos isso mais cedo. Começando a trabalhar nele agora. Obrigado pelo chute nas calças e desculpe, precisávamos disso.”
Para não esquecer, a ConsenSys, empresa controladora da Metamask, arrecadou US$ 200 milhões com a Metamask ultrapassando 21 milhões de usuários ativos mensais em novembro de 2021. A carteira de criptomoedas mais popular também é usada como porta de entrada para 3,700 aplicativos descentralizados da Web 3.0 (dApps).
O que você acha desse assunto? Escreva para nós e diga-nos!
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/