حفره‌ی امنیتی جدید متامسک می‌تواند اطلاعات 21 میلیون کاربر را به‌خطر اندازد
هاشم حسینی | 2022.01.23

حفره‌ی امنیتی جدید متامسک می‌تواند اطلاعات 21 میلیون کاربر را به‌خطر اندازد

Alexandru Lupascu، تحلیل‌گر رمزنگاری، حفره‌ی امنیتی جدیدی در کیف‌پول متامسک پیدا کرده است که می‌تواند با انتقال یک توکن‌ غیرقابل تعویض (NFT) به آدرس کاربران، اطلاعات شخصی ازجمله IP آنان را سرقت کند.

هکرها برای سوءاستفاده از این حفره‌ی امنیتی و افشای اطلاعات شخصی کاربران تنها باید 50 دلار پرداخت کنند، وی با اشاره به اینکه که نباید خطر لو رفتن آدرس IP در فضای رمزنگاری را دست‌کم گرفت افزود:

«افراد سودجو با استخراج داده‌های کافی از آدرس IP کابران به اطلاعات حساسی ازجمله موقعیت مکانی و سرویس ارائه‌دهنده‌ی خدمات مخابراتی دست‌ خواهد یافت که می‌توانند زمینه‌ساز ریسک‌های واقعی مانند آدم‌ربایی باشند.»

این تحلیل‌گر رمزنگاری درادامه گفت که این حفره‌ی امنیتی به‌مراتب تبعات بزرگتری درمقایسه با حمله‌ی محروم‌سازی از سرویس یا (DDoS) خواهد داشت. برای درک بهتر این موضوع کافی‌ست بدانیم که این نوع حمله 8 برابر مخرب‌تر از حمله‌ی بات‌نت میرای (Mirai botnet) است که در اکتبر 2016 موفق به اختلال توئیتر، ردیت (Reddit)، اسپاتیفای، گیت‌هاب، نتفلیکس، Airbnb و بسیاری از دیگر سرویس‌دهندگان محبوب محتوا شد.

این کارشناس امنیتی وجود این باگ را بر نسخه‌ی iOS متامسک آزمایش کرده است و گفت که احتمال دارد شرایط برای اندروید هم یکسان باشد. وی پس از ایجاد یک NFT در بازار OpenSea اقدام به ویرایش کد ERC-1155 قرارداد هوشمند آن توسط Remix Ethereum IDE نمود.

پاسخ متامسک

Lupascu در 14 دسامبر تیم توسعه‌دهنده‌ی متامسک را درخصوص این اشکال امنیتی مطلع کرده است، اما آنها از آن چشم‌پوشی نموده و بیان داشتند که این نقص فنی در سه‌ ماهه‌ی دوم امسال رفع خواهند شد. وی اظهار داشت این رویکرد برای جامعه‌ی کاربری 21 میلیونی این کیف‌پول مناسب نبوده و ریسک بالایی دربر خواهد داشت.

Daniel Finlay، بنیان‌گذار متامسک، پس از انتشار عمومی نتایج این تحقیق گفت به‌نظر می‌رسد که کاربران از این اشکال امنیتی اطلاع داشته باشند ودرنتیجه نیازی به انتشار بیانیه‌ی ویژه‌ای برای آن نیست.

پیشنهاد مطالعه: آموزش کامل کیف پول متامسک MetaMask + ویدیو

Source