密碼學(xué)家發(fā)現(xiàn)MetaMask存在關(guān)鍵漏洞,或致用戶IP地址泄露

巴比特
惡意方可以簡單地創(chuàng)建一個NFT,并通過轉(zhuǎn)移該NFT的免費(fèi)所有權(quán)來獲取用戶的IP地址。黑客只需花費(fèi)50美元就能攻擊他人的隱私。

據(jù)BeInCrypto 1月22日消息,MetaMask加密錢包用戶可能面臨失去所有數(shù)字資產(chǎn)的風(fēng)險。OMNIA協(xié)議的聯(lián)合創(chuàng)始人、安全分析師和密碼學(xué)家Alexandru Lupascu在這一流行的Web 3.0錢包中發(fā)現(xiàn)了這個漏洞。

Lupascu發(fā)現(xiàn),惡意方可以簡單地創(chuàng)建一個NFT,并通過轉(zhuǎn)移該NFT的免費(fèi)所有權(quán)來獲取用戶的IP地址。黑客只需花費(fèi)50美元就能攻擊他人的隱私。他提到,“不要低估與IP泄露相關(guān)的風(fēng)險。”

Lupascu補(bǔ)充說:“如果惡意行為者從IP地址獲得更多信息(比如地理位置、GSM運(yùn)營商等),他們可能會將其轉(zhuǎn)化為綁架等物理風(fēng)險。”此外,據(jù)這位密碼學(xué)家說,這種攻擊可能“比DDoS攻擊更具破壞性”。做個簡單的比較,這種攻擊可能比2016年10月導(dǎo)致Twitter、Reddit、Spotify、GitHub、Netflix、Airbnb等眾多主流網(wǎng)站癱瘓的Mirai僵尸網(wǎng)絡(luò)攻擊強(qiáng)大8倍。

Lupascu表示,他在2021年12月14日發(fā)現(xiàn)了這個安全漏洞,并向MetaMask團(tuán)隊(duì)提出了解決方案,但他們忽視了這個問題,并表示將在2022年第二季度之前解決。Lupascu稱:“對我們來說,讓這么大的用戶群長期處于風(fēng)險之中是不可接受的,特別是如果他們事先就知道。”

在這項(xiàng)研究向公眾展示之后,MetaMask的創(chuàng)始人Daniel Finlay承認(rèn)了這一事件:“我認(rèn)為這個問題已經(jīng)被廣泛知曉很久了,所以我認(rèn)為披露期并不適用。”Finlay補(bǔ)充說:“Lupascu說我們沒有盡早解決這個問題,他說得沒錯。我們現(xiàn)在就開始著手解決這一問題。謝謝你的提醒。”

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論