ضعف امنیتی متامسک؛ زنگ خطر برای حریم خصوصی کاربران
فکت کوینز: یک تحلیلگر امور امنیتی به تازگی از وجود ضعف امنیتی شدیدی در کیف پول متامسک خبر داده است که هکرها به واسطه آن میتوانند به سادگی آی پی کاربران را به دست آورده و از آن برای حملات خود استفاده کنند.
الکساندر لوپاسکو، تحلیلگر امور امنیتی و یکی از بنیانگذار پروتکل OMNIA اخیراً در پستی وبلاگی از وجود ضعف امنیتی و آسیب پذیری مهمی در کیف پول محبوب متامسک خبر داده و معتقد است با این آسیب پذیری، حریم خصوصی کاربران به خطر افتاده است.
بیشتر بخوانید : بایننس خدمات واریز و برداشت یورو را از سرگرفت
آدرس آیپی یک شناسه جهانی منحصر به فرد است که به دستگاه متصل به اینترنت اختصاص داده میشود. از آنجایی که کاربران داراییهای دیجیتال خود را در کیف پولهایی نظیر متامسک ذخیره میکنند، آشکار شدن آیپی به دست هکرها میتواند خطرات بزرگی را ایجاد نماید.
بیشتر بخوانید : سفیر آمریکا تحریم 14 بانک کشور عراق را تکذیب کرد
لوپاسکو در این پست اعلام کرد هکرها میتوانند با ایردراپ توکنهای غیرقابل معاوضه یا همان NFT ها به نسخههای موبایلی متامسک، آی پی کاربران را به دست آورند و از آن برای اهداف شوم خود استفاده نمایند.
بیشتر بخوانید : ارز های XAI و PRISMA در صرافی کوینکس لیست شدند
NFT ها داراییهای دیجیتالی هستند که به مالکیت محتوایی چون آثار هنری دیجیتال، کاور موسیقی و یا میم ها اشاره دارند. NFT ها راهی نوین برای توکنیزه کردن محتواها ارائه کردهاند با این حال معمولاً محتوای واقعی را ذخیره نمیکنند. از آنجایی که ذخیره دادههای تصویری در یک شبکه بلاکچینی چون اتریوم هزینه بر است، NFT ها معمولاً در یک شبکه ذخیره سازی غیرمتمرکز مانند IPFS یا در سرورهای ابری متمرکز از راه دور ذخیره می شوند.
بیشتر بخوانید: NFT چیست؟ ساخت NFT چگونه است؟
به طور پیش فرض، نسخه موبایلی کیف پول متامسک NFT های ذخیره شده در یک آدرس را با فراخوانی یک تابع در یک URL نشان میدهد. دادههای مرتبط با NFT های ذخیره شده بر روی سرورهای راه دور ذخیره میشوند و فراخوانی این تابع بدون اطلاع کاربر صورت میگیرد و NFT ها به وی نمایش داده میشوند.
در طول این فرآیند، آیپی کاربر مرتباً به سرور ارسال میشود. لوپاسکو در تحقیقات خود تشخیص داده که هکرها میتوانند از این فرآیند سو استفاده کرده و از اطلاعات به دست آمده برای اجرای حملات هدفمند خود استفاده کنند. لوپاسکو در پستی در این رابطه نوشت:
«اگر هکرها از آدرس بلاکچینی شما اطلاع داشته باشند، میتوانند یک NFT با URL ای که به سرور خودش مرتبط است ایجاد کرده و مالکیت آن را به حساب شما منتقل کند، در این صورت، هنگامی که کیف پول شما تصویر NFT را از سرور دریافت میکند، آی پی شما و در نتیجه حریم خصوصیتان به خطر میافتد.»
لوپاسکو این آسیب پذیری امنیتی را با مینت یک توکن NFT مبتنی بر استاندارد ERC-1155 در بازار معاملاتی اوپن سی آزمایش کرده است. وی پس از آن از یک ویرایشگر قرارداد هوشمند استفاده کرده تا URL اصلی مرتبط با NFT را تغییر دهد و آن را به سرور جدیدی تحت کنترل خودش مرتبط سازد. پس از آن، NFT را به آدرس اتریومی فرستاده و هنگام دسترسی به این توکن از طریق نسخه موبایلی کیف پول متامسک، آی پی مرتبط با آن دستگاه را در سرور تحت کنترل خود مشاهده کرده است. به گفته لوپاسکو این حمله تنها 50 دلار هزینه داشته است.
لوپاسکو در گفگتگویی با کریپتوبریفینگ خاطرنشان کرد در اواسط ماه دسامبر سال گذشته این ضعف امنیتی را به تیم توسعه متامسک اطلاع داده است. این بدان معنی است که توسعه دهندگان معروف ترین کیف پول وب 3.0 بازار حداقل یک ماه است که از این مشکل مطلع بودهاند. البته متامسک وعده داده تا یک آپدیت در سه ماهه دوم سال 2022 منتشر کند. با این حال، لوپاسکو مدعی است با توجه به وخامت اوضاع و در خطر بودن حریم خصوصی کاربران، این بازه زمانی برای حل مشکل غیرقابل قبول است.
دنیل فینلی، بنیانگذار کیف پول متامسک در واکنش به این آسیب پذیری، در تایید وجود ضعف امنیتی در توییتی خاطرنشان کرد این مسئله از مدتها پیش وجود داشته است.
فینلی در این رابطه گفت:
«الکس درست میگوید که ما زودتر به آن رسیدگی نکردیم. از همین حالا کار بر روی این معضل امنیتی آغاز میشود. برای تلنگرت متشکرم و متاسفانه به آن نیاز داشتیم.»
بیشتر بخوانید : هارد فورک اویلر (Euler)، فردا در شبکه بایننس اسمارت چین راهاندازی خواهد شد
بیشتر بخوانید: روش اتصال کیف پول متامسک به پالیگان (Polygon Matic Network)
فینلی همچنین خاطرنشان کرد کیف پول متامسک تنها میتواند لینکهای از نوع IPFS را به طور پیش فرض بارگیری کند و برای دریافت مشخصات مرتبط با NFT ذخیره شده در سایر سرورهای شخص ثالث، کاربر بایستی دسترسی لازم را فراهم نماید.
در همین حال، لوپاسکو به کاربران شبکه بلاکچینی اتریوم هشدار داد نسبت به ایردراپهای NFT هوشیار باشند. علاوه بر این وی توصیه کرد کاربران فعلاً تا زمان حل مشکل متامسک، تنها از طریق اوپن سی و هر کیف پول سازگار با وب 3.0 برای دسترسی به NFT های خود استفاده نمایند. علاوه بر این وی خاطرنشان کرد حریم خصوصی و اطلاعات خارج زنجیرهای بسیار مهم است و نباید از آن غافل شد.
در ماههای اخیر، کلکسیونرهای آثار هنری دیجیتالی میلیونها دلار از طریق حملات هکری و کلاهبرداریها از دست دادهاند. بسیاری از کاربران متضرر NFT های ارزشمند خود را در کیف پول متامسک ذخیره کرده و پس از آن با حملات فیشینگ مواجه شدهاند. از آنجایی که متامسک یک کیف پول آنلاین است، هکرها میتوانند به راحتی با در اختیار داشتن کلید خصوصی کاربران، دارایی آنها را به تاراج ببرند؛ به همین خاطر گفته میشود کیف پولهای آنلاین امنیت کمتری نسبت به ذخیره سازی در کیف پولهای سخت افزاری ارائه میدهند.
متامسک محبوبترین کیف پول وب 3.0 برای دسترسی به اتریوم و سایر شبکه های بلاک چینی سازگار با ماشین مجازی اتریوم است و به گفته شرکت کانسنسیس، تعداد کاربران این کیف پول در ماه نوامبر سال گذشته از 21 میلیون کاربر فعال عبور کرده است. حال بایستی دید توسعه دهندگان متامسک چه فکری به حال این ضعف امنیتی میکنند.
بیشتر بخوانید : دن گامباردلو: ارزش بازار کاردانو به ۵۰۰ میلیارد دلار خواهد رسید
برای اطلاع از آخرین اخبار ارزهای دیجیتال با فکت کوینز همراه باشید.
فکت کوینز مرجع خبر،تحلیل،آموزش رمز ارز
برای دیدن آموزش های رایگان بیشتر،عضو شوید
آخرین اخبار
- لیست شدن دوج کیلر (LEASH) در صرافی کوینکس
- لیست شدن سولچت (Chat) در صرافی کوینکس!
- تأثیر انتخابات مجلس سنای ایالات متحده بر آیندهی ارزهای دیجیتال
- مهمترین پیش بینیهای قیمت کاردانو: رشد 10 دلاری ADA
- رونمایی از سیستم پرداخت بریکس جهت مقابله با دلار آمریکا
- ارزهای SNS و PANDORA در صرافی کوینکس لیست شدند
- افزایش 50 درصدی قیمت شیبا اینو (SHIB) در یک روز
- ارزش بازار تتر از 100 میلیارد دلار گذشت: بررسی جزئیات
- چارلز هاسکینسون در برابر مجلس سنای ایالات متحده
- رالی عظیم ADA:آیا قیمت کاردانو به 10 دلارخواهد رسید؟