خطر جدی برای کاربران کیف پول متامسک

زمان مطالعه: 3 دقیقه

بر اساس نتایج تحقیقات اخیر، کاربران کیف پول متامسک (Metamask) ممکن است در معرض خطر از دست دادن تمام دارایی‌های دیجیتال خود یا حتی تهدیدات فیزیکی باشند. الکساندر لوپاسکو (Alexandru Lupascu)، تحلیل‌گر امنیتی و هم‌بنیان‌گذار پروتکل OMNIA، یک آسیب‌پذیری امنیتی جدی را در کیف پول محبوب متامسک شناسایی کرده است.

لوپاسکو متوجه شد که مهاجم به سادگی می‌تواند یک توکن غیرقابل تعویض (NFT) را ایجاد کرده و با انتقال رایگان مالکیت این هنر دیجیتال، آدرس IP کاربران را به دست آورد. به گفته لوپاسکو، هکر برای حمله به حریم خصوصی افراد باید حداقل ۵۰ دلار هزینه کند.

وی خاطرنشان کرد:

خطرات مرتبط با افشای IP را دست کم نگیرید. اگر مهاجم با استفاده از آدرس IP اطلاعات بیشتری را به دست آورد (مانند موقعیت جغرافیایی، حامل GSM و غیره)، او می‌تواند خطرات فیزیکی، مانند آدم‌ربایی را نیز برنامه‌ریزی کند.

علاوه بر این، به گفته لوپاسکو، این حمله می‌تواند ویرانگرتر از یک حمله منع سرویس توزیع‌شده (DDoS) باشد. برای مقایسه، این حمله می‌تواند هشت برابر قدرتمندتر از حمله بات‌نت میرای (Mirai) در اکتبر سال ۲۰۱۶ میلادی باشد که توییتر، ردیت، اسپاتیفای، گیت هاب، نتفلیکس، ایربی‌‌ان‌بی (Airbnb) و بسیاری از وبسایت‌های محبوب دیگر را تحت تأثیر قرار داد.

لوپاسکو چگونگی انجام این حمله، از ایجاد یک توکن NFT و انتقال آن به قربانی گرفته تا دریافت آدرس IP و در نهایت، به خطر انداختن حریم خصوصی یا حتی سرقت دارایی‌ رمزارزی آنها، را منتشر کرده است. او این حمله را روی نسخه ۳٫۷٫۰ متامسک iOS آزمایش کرد، اما ممکن است برای نسخه اندروید نیز همینطور باشد. برای این منظور، او یک توکن NFT را در بازار بزرگ اوپن‌سی (OpenSea) ایجاد کرده و قرارداد هوشمند استاندارد ERC-1155 را با Remix Ethereum IDE ویرایش کرد.

به گفته لوپاسکو، او این نقص امنیتی را در تاریخ ۱۴ دسامبر ۲۰۲۱ کشف کرده و به تیم متامسک گزارش داده است، اما آنها اعلام کردند که این مشکل را در سه ماه دوم ۲۰۲۲ رفع خواهند کرد. لوپاسکو گفت:

برای ما غیرقابل قبول است که چنین پایگاه کاربری بزرگی را برای مدت طولانی در معرض خطر رها کنیم.

پس از این‌که نتایج این تحقیق به صورت عمومی منتشر شد، دنیل فینلی (Daniel Finlay)، بنیان‌گذار متامسک، اعتراف کرد:

این مشکل مدت زمان زیادی است که شناسایی شده، بنابراین فکر نمی‌کنم دوره افشا اعمال شود. الکس حق دارد از ما بخواهد که زودتر به آن رسیدگی کنیم. هم‌اکنون کار روی آن را شروع کنید. برای این تلنگر متشکرم و متاسفم که به آن نیاز داشتیم.

لازم به ذکر است که در نوامبر ۲۰۲۱، تعداد کاربران فعال ماهانه کیف پول متامسک از ۲۱ میلیون فراتر رفت. این کیف پول محبوب‌ رمزارزی همچنین به عنوان دروازه‌ای به ۳،۷۰۰ برنامه غیرمتمرکز (dApps) وب ۳ شناخته می‌شود.

ممکن است به این مطالب نیز علاقه‌مند باشید

دیدگاه خود را ثبت کنید

1 دیدگاه
جدیدترین
قدیمی ترین بیشترین رأی
Inline Feedbacks
View all comments

کاربرها هم باید از طریق سایت bscscan.com قسمت سرچ توکن اسکمی که براشون ارسال شده رو اول سرچ کنن و قسمت ریپورت اعلام کنن که توکن اسکم هست تا شبکه اسکم مسدود کنه این توکن ها و والت های مبدا رو