top banner adv

ضعف امنیتی متامسک؛ زنگ خطر برای حریم خصوصی کاربران

ضعف امنیتی متامسک؛ زنگ خطر برای حریم خصوصی کاربران
0
بازدید : 10516

فکت کوینز: یک تحلیلگر امور امنیتی به تازگی از وجود ضعف امنیتی شدیدی در کیف پول متامسک خبر داده است که هکرها به واسطه آن می‌توانند به سادگی آی پی کاربران را به دست آورده و از آن برای حملات خود استفاده کنند.

الکساندر لوپاسکو، تحلیلگر امور امنیتی و یکی از بنیانگذار پروتکل OMNIA اخیراً در پستی وبلاگی از وجود ضعف امنیتی و آسیب پذیری مهمی در کیف پول محبوب متامسک خبر داده و معتقد است با این آسیب پذیری، حریم خصوصی کاربران به خطر افتاده است.

بیشتر بخوانید : بایننس خدمات واریز و برداشت یورو را از سرگرفت

آدرس آی‌پی یک شناسه جهانی منحصر به فرد است که به دستگاه متصل به اینترنت اختصاص داده می‌شود. از آنجایی که کاربران دارایی‌های دیجیتال خود را در کیف پول‌هایی نظیر متامسک ذخیره می‌کنند، آشکار شدن آی‌پی به دست هکرها می‌تواند خطرات بزرگی را ایجاد نماید.

بیشتر بخوانید : سفیر آمریکا تحریم 14 بانک کشور عراق را تکذیب کرد

لوپاسکو در این پست اعلام کرد هکرها می‌توانند با ایردراپ توکن‌های غیرقابل معاوضه یا همان NFT ها به نسخه‌های موبایلی متامسک، آی پی کاربران را به دست آورند و از آن برای اهداف شوم خود استفاده نمایند.

بیشتر بخوانید : ارز های XAI و PRISMA در صرافی کوینکس لیست شدند

NFT ها دارایی‌های دیجیتالی هستند که به مالکیت محتوایی چون آثار هنری دیجیتال، کاور موسیقی و یا میم ها اشاره دارند. NFT ها راهی نوین برای توکنیزه کردن محتواها ارائه کرده‌اند با این حال معمولاً محتوای واقعی را ذخیره نمی‌کنند. از آنجایی که ذخیره داده‌های تصویری در یک شبکه بلاکچینی چون اتریوم هزینه بر است، NFT ها معمولاً در یک شبکه ذخیره سازی غیرمتمرکز مانند IPFS یا در سرورهای ابری متمرکز از راه دور ذخیره می شوند.

بیشتر بخوانید: NFT چیست؟ ساخت NFT چگونه است؟

به طور پیش فرض، نسخه موبایلی کیف پول متامسک NFT های ذخیره شده در یک آدرس را با فراخوانی یک تابع در یک URL نشان می‌دهد. داده‌های مرتبط با NFT های ذخیره شده بر روی سرورهای راه دور ذخیره می‌شوند و فراخوانی این تابع بدون اطلاع کاربر صورت می‌گیرد و NFT ها به وی نمایش داده می‌شوند.

در طول این فرآیند، آی‌پی کاربر مرتباً به سرور ارسال می‌شود. لوپاسکو در تحقیقات خود تشخیص داده که هکرها می‌توانند از این فرآیند سو استفاده کرده و از اطلاعات به دست آمده برای اجرای حملات هدفمند خود استفاده کنند. لوپاسکو در پستی در این رابطه نوشت:

«اگر هکرها از آدرس بلاکچینی شما اطلاع داشته باشند، می‌توانند یک NFT با URL ای که به سرور خودش مرتبط است ایجاد کرده و مالکیت آن را به حساب شما منتقل کند، در این صورت، هنگامی که کیف پول شما تصویر NFT را از سرور دریافت می‌کند، آی پی شما و در نتیجه حریم خصوصیتان به خطر می‌افتد.»

لوپاسکو این آسیب پذیری امنیتی را با مینت یک توکن NFT مبتنی بر استاندارد ERC-1155 در بازار معاملاتی اوپن سی آزمایش کرده است. وی پس از آن از یک ویرایشگر قرارداد هوشمند استفاده کرده تا URL اصلی مرتبط با NFT را تغییر دهد و آن را به سرور جدیدی تحت کنترل خودش مرتبط سازد. پس از آن، NFT را به آدرس اتریومی فرستاده و هنگام دسترسی به این توکن از طریق نسخه موبایلی کیف پول متامسک، آی پی مرتبط با آن دستگاه را در سرور تحت کنترل خود مشاهده کرده است. به گفته لوپاسکو این حمله تنها 50 دلار هزینه داشته است.

لوپاسکو در گفگتگویی با کریپتوبریفینگ خاطرنشان کرد در اواسط ماه دسامبر سال گذشته این ضعف امنیتی را به تیم توسعه متامسک اطلاع داده است. این بدان معنی است که توسعه دهندگان معروف ترین کیف پول وب 3.0 بازار حداقل یک ماه است که از این مشکل مطلع بوده‌اند. البته متامسک وعده داده تا یک آپدیت در سه ماهه دوم سال 2022 منتشر کند. با این حال، لوپاسکو مدعی است با توجه به وخامت اوضاع و در خطر بودن حریم خصوصی کاربران، این بازه زمانی برای حل مشکل غیرقابل قبول است.

دنیل فینلی، بنیانگذار کیف پول متامسک در واکنش به این آسیب پذیری، در تایید وجود ضعف امنیتی در توییتی خاطرنشان کرد این مسئله از مدت‌ها پیش وجود داشته است.

فینلی در این رابطه گفت:

«الکس درست می‌گوید که ما زودتر به آن رسیدگی نکردیم. از همین حالا کار بر روی این معضل امنیتی آغاز می‌شود. برای تلنگرت متشکرم و متاسفانه به آن نیاز داشتیم.»

بیشتر بخوانید : هارد فورک اویلر (Euler)، فردا در شبکه بایننس اسمارت چین راه‌اندازی خواهد شد

بیشتر بخوانید: روش اتصال کیف پول متامسک به پالیگان (Polygon Matic Network)

فینلی همچنین خاطرنشان کرد کیف پول متامسک تنها می‌تواند لینک‌های از نوع IPFS را به طور پیش فرض بارگیری کند و برای دریافت مشخصات مرتبط با NFT ذخیره شده در سایر سرورهای شخص ثالث، کاربر بایستی دسترسی لازم را فراهم نماید.

در همین حال، لوپاسکو به کاربران شبکه بلاکچینی اتریوم هشدار داد نسبت به ایردراپ‌های NFT هوشیار باشند. علاوه بر این وی توصیه کرد کاربران فعلاً تا زمان حل مشکل متامسک، تنها از طریق اوپن سی و هر کیف پول سازگار با وب 3.0 برای دسترسی به NFT های خود استفاده نمایند. علاوه بر این وی خاطرنشان کرد حریم خصوصی و اطلاعات خارج زنجیره‌ای بسیار مهم است و نباید از آن غافل شد.

در ماه‌های اخیر، کلکسیونرهای آثار هنری دیجیتالی میلیون‌ها دلار از طریق حملات هکری و کلاهبرداری‌ها از دست داده‌اند. بسیاری از کاربران متضرر NFT های ارزشمند خود را در کیف پول متامسک ذخیره کرده‌ و پس از آن با حملات فیشینگ مواجه شده‌اند. از آنجایی که متامسک یک کیف پول آنلاین است، هکرها می‌توانند به راحتی با در اختیار داشتن کلید خصوصی کاربران، دارایی آنها را به تاراج ببرند؛ به همین خاطر گفته می‌شود کیف پول‌های آنلاین امنیت کمتری نسبت به ذخیره سازی در کیف پول‌های سخت افزاری ارائه می‌دهند.

متامسک محبوب‌ترین کیف پول وب 3.0 برای دسترسی به اتریوم و سایر شبکه های بلاک چینی سازگار با ماشین مجازی اتریوم است و به گفته شرکت کانسن‌سیس، تعداد کاربران این کیف پول در ماه نوامبر سال گذشته از 21 میلیون کاربر فعال عبور کرده است. حال بایستی دید توسعه دهندگان متامسک چه فکری به حال این ضعف امنیتی می‌کنند.

بیشتر بخوانید : دن گامباردلو: ارزش بازار کاردانو به ۵۰۰ میلیارد دلار خواهد رسید

برای اطلاع از آخرین اخبار ارزهای دیجیتال با فکت کوینز همراه باشید.

0
0
برای پیشنهاد این مقاله به دیگر کاربران عزیز فکت کوینز روی دکمه زیر کلیک کنید

فکت کوینز مرجع خبر،تحلیل،آموزش رمز ارز

برای دیدن آموزش های
رایگان بیشتر،عضو شوید

    اشتراک در
    اطلاع از
    0 نظرات
    بازخورد (Feedback) های اینلاین
    مشاهده همه نظرات
    محل تبلیغ
    ramzarzy
    0
    نظر خود را بنویسید !x