Se encontró una vulnerabilidad crítica que podría poner en riesgo los datos de usuario de 21 millones de metamáscaras

Según una investigación reciente, los usuarios de la billetera criptográfica Metamask podrían correr el riesgo de perder todos sus activos digitales o incluso amenazas físicas. El analista de seguridad y criptógrafo Alexandru Lupascu, cofundador del protocolo OMNIA, encontró esta vulnerabilidad en la popular billetera Web 3.0.

¿Qué tan mal se puede hacer?

Lupascu descubrió que un atacante puede simplemente crear un token no fungible (NFT) y obtener la dirección IP de un usuario transfiriendo la propiedad gratuita del arte digital. Un hacker tendría que gastar un mínimo de 50 dólares para atacar la privacidad de alguien. Él dijo: «No subestimes el riesgo asociado con las filtraciones de IP».

Lupascu agregó que «si los actores malintencionados obtienen más información de la dirección IP (piense en la geolocalización, el operador GSM, etc.), pueden convertirla en riesgos físicos, como un secuestro».

Además, este ataque puede ser más «devastador que un ataque de denegación de servicio distribuido (DDoS)», según el criptógrafo. Para una simple comparación, este ataque puede ser ocho veces más poderoso que el Red de bots Mirai ataque en octubre de 2016 que eliminó Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb y muchos otros sitios web populares.

Alejandro publicado un recorrido completo de cómo se realiza el ataque, desde acuñar un NFT hasta transferirlo a la víctima para obtener la dirección IP y, en última instancia, comprometer su privacidad o incluso robar sus criptoactivos. Probó este ataque en la versión 3.7.0 de la aplicación Metamask iOS, pero también podría ser lo mismo para la versión de Android. Acuñó un NFT en OpenSea, el mercado NFT más grande, y modificó el contrato inteligente estándar ERC-1155 con el remezclar Etéreo IDE.

¿Lo arreglaron?

Según Lupascu, encontró y remitió la falla de seguridad al equipo de Metamask el 14 de diciembre de 2021, pero pasaron por alto y respondieron para solucionar este problema en el segundo trimestre de 2022. Dijo: «Es inaceptable que dejemos una base de usuarios tan grande». . en riesgo durante tanto tiempo, especialmente si lo sabías de antemano, como dicen «.

Después de que esta investigación se mostró al público, Daniel Finlay, quien es el fundador de Metamask, aceptado, «Creo que este problema ha sido ampliamente conocido durante mucho tiempo, por lo que no creo que se aplique un período de divulgación».

Finlay agregó: «Alex tiene razón al llamarnos por no tratar con él antes. Estoy empezando a trabajar en eso ahora. Gracias por la patada en los pantalones y lamento que lo necesitáramos».

Sin olvidar que ConsenSys, la empresa matriz de Metamask, recaudó $ 200 millones con Metamask superando los 21 millones de usuarios activos mensuales en noviembre de 2021. La billetera criptográfica más popular también se utiliza como puerta de entrada a 3700 aplicaciones Web 3.0 descentralizadas (dApps).

¿Qué opinas sobre este tema? Escríbenos y cuéntanos!

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.