Alexandru Lupascu، تحلیلگر رمزنگاری، حفرهی امنیتی جدیدی در کیفپول متامسک پیدا کرده است که میتواند با انتقال یک توکن غیرقابل تعویض (NFT) به آدرس کاربران، اطلاعات شخصی ازجمله IP آنان را سرقت کند.
هکرها برای سوءاستفاده از این حفرهی امنیتی و افشای اطلاعات شخصی کاربران تنها باید ۵۰ دلار پرداخت کنند، وی با اشاره به اینکه که نباید خطر لو رفتن آدرس IP در فضای رمزنگاری را دستکم گرفت افزود:
«افراد سودجو با استخراج دادههای کافی از آدرس IP کابران به اطلاعات حساسی ازجمله موقعیت مکانی و سرویس ارائهدهندهی خدمات مخابراتی دست خواهد یافت که میتوانند زمینهساز ریسکهای واقعی مانند آدمربایی باشند.»
این تحلیلگر رمزنگاری درادامه گفت که این حفرهی امنیتی بهمراتب تبعات بزرگتری درمقایسه با حملهی محرومسازی از سرویس یا (DDoS) خواهد داشت. برای درک بهتر این موضوع کافیست بدانیم که این نوع حمله ۸ برابر مخربتر از حملهی باتنت میرای (Mirai botnet) است که در اکتبر ۲۰۱۶ موفق به اختلال توئیتر، ردیت (Reddit)، اسپاتیفای، گیتهاب، نتفلیکس، Airbnb و بسیاری از دیگر سرویسدهندگان محبوب محتوا شد.
این کارشناس امنیتی وجود این باگ را بر نسخهی iOS متامسک آزمایش کرده است و گفت که احتمال دارد شرایط برای اندروید هم یکسان باشد. وی پس از ایجاد یک NFT در بازار OpenSea اقدام به ویرایش کد ERC-1155 قرارداد هوشمند آن توسط Remix Ethereum IDE نمود.
پاسخ متامسک
Lupascu در ۱۴ دسامبر تیم توسعهدهندهی متامسک را درخصوص این اشکال امنیتی مطلع کرده است، اما آنها از آن چشمپوشی نموده و بیان داشتند که این نقص فنی در سه ماههی دوم امسال رفع خواهند شد. وی اظهار داشت این رویکرد برای جامعهی کاربری ۲۱ میلیونی این کیفپول مناسب نبوده و ریسک بالایی دربر خواهد داشت.
Daniel Finlay، بنیانگذار متامسک، پس از انتشار عمومی نتایج این تحقیق گفت بهنظر میرسد که کاربران از این اشکال امنیتی اطلاع داشته باشند ودرنتیجه نیازی به انتشار بیانیهی ویژهای برای آن نیست.
پیشنهاد مطالعه: آموزش کامل کیف پول متامسک MetaMask + ویدیو
