MetaMask wiedział o luce w zabezpieczeniach, ale jej nie naprawił

22 stycznia 2022 23:01

Autor: Redakcja

21 MARCA 2024 11:15

Alexandru Lupascu twierdzi, że użytkownicy portfela MetaMask, którzy korzystają z aplikacji na urządzeniach mobilnych, są narażeni na ujawnienie swojego adresu IP.

Alexandru Lupascu, który jest współzałożycielem usługi węzła prywatności OMNIA Protocol, twierdzi, że znalazł lukę w popularnym portfelu Web3 firmy ConsenSys. Umożliwia ona hakerom uzyskanie dostępu do adresów IP użytkowników, tworząc tym samym zagrożenie dla prywatności. Adres IP to unikalny globalny identyfikator przypisany do urządzenia podłączonego do sieci. Ponieważ użytkownicy mogą przechowywać swoje aktywa kryptowalutowe na portfelach MetaMask, luka ta jest poważnym problemem.

Lupascu opublikował wpis na blogu wyjaśniający, jak można wykorzystać tę lukę poprzez wybicie i rozdanie NFT na adres Ethereum połączony z MetaMask, używany w smartfonie.

NFT to cyfrowe aktywa, które potwierdzają własność treści takich jak cyfrowa sztuka lub muzyka. Oferują one sposób tokenizacji treści, ale zazwyczaj nie przechowują ich rzeczywistych wersji. Ponieważ przechowywanie danych graficznych na blockchainie takim jak Ethereum może być kosztowne, NFT zawierają Uniform Resource Locators, które wskazują na dane. Zawartość NFT jest często przechowywana albo w zdecentralizowanej sieci pamięci masowej, takiej jak IPFS, albo na zdalnych scentralizowanych serwerach w chmurze.

Domyślnie, aplikacja mobilna MetaMask wyświetla NFT przechowywane w adresie wykorzystującym wywołanie funkcji URL do danych obrazu. Dane te są przechowywane na zdalnych serwerach. Proces ten odbywa się bez pytania o zgodę użytkownika.

Podczas tego procesu pobierania danych, wszystkie bramy serwerów obsługujące transmisję danych obrazu otrzymują informacje o IP użytkownika. Ogólnie rzecz biorąc, projekty obsługujące serwery dla danych obrazu zapewniają bezpieczeństwo tych danych.

W trakcie swojego dochodzenia Lupascu ustalił, że złośliwe podmioty mogą uzyskać dane IP użytkowników MetaMask i wykorzystać te informacje do przeprowadzenia ukierunkowanych ataków. W swoim wpisie na blogu, Lupascu wyjaśnił:

Jeśli złośliwy aktor zna tylko Twój adres blockchain, może wybić NFT z adresem URL wskazującym na jego serwer i przenieść własność NFT na Twój adres. W ten sposób, gdy twój portfel kryptowalutowy pobierze zdalny obraz z serwera, narazi twoją prywatność.

MetaMask wiedział o błędzie i nic nie zrobił

Lupascu przetestował podatność, wybijając NFT na OpenSea w oparciu o standard ERC-1155. Następnie użył edytora inteligentnych kontraktów, aby zmienić oryginalny adres URL powiązany z NFT, tak aby wskazywał na nowy serwer znajdujący się pod jego kontrolą. Następnie wysłał NFT na adres Ethereum. Kiedy uzyskał dostęp do tego adresu za pomocą aplikacji mobilnej MetaMask, jego adres IP pojawił się na kontrolowanym przez niego serwerze. Przeprowadzenie ataku kosztowało go około 50 dolarów.

Lupascu powiadomił zespół MetaMask o problemie w połowie grudnia 2021 roku, co oznacza, że portfel Web3 był świadomy problemu od co najmniej miesiąca. Zespół MetaMask obiecał wydać poprawkę do drugiego kwartału 2022 roku – termin ten Lupascu uważa za “nie do przyjęcia” biorąc pod uwagę powagę sprawy.

Odnosząc się do luki, założyciel MetaMask Daniel Finlay przyznał w odpowiedzi na tweeta Lupascu, że “problem był powszechnie znany od dłuższego czasu”. Dodał także:

Alex ma rację obwiniając nas za to, że nie zajęliśmy się nim wcześniej. Zaczynamy nad tym pracować. Dzięki za kopa w tyłek i przepraszam, że go potrzebowaliśmy.

Finlay zaproponował również, aby portfel mógł “domyślnie ładować tylko linki typu IPFS”. Ponadto, użytkownicy MetaMask będą musieli wyrazić wyraźną zgodę na pobieranie danych NFT przechowywanych na serwerach stron trzecich.

Tymczasem Lupascu mówi, że jego zdaniem użytkownicy Ethereum powinni być czujni, jeśli otrzymują darmowe NFT, i że zaleca się, aby uzyskiwać do nich dostęp wyłącznie za pośrednictwem OpenSea.

Dopóki ten problem nie zostanie naprawiony w aplikacji mobilnej, używaj platformy OpenSea z dowolnym portfelem kompatybilnym z Web3, aby odkrywać swoje kolekcje. Przypominamy wszystkim, że prywatność off-chain jest naprawdę ważna – nie zaniedbujcie jej.