Menurut penelitian terbaru, pengguna dompet kripto Metamask bisa berisiko kehilangan semua aset digital mereka atau bahkan ancaman fisik. Analis keamanan dan kriptografer Alexandru Lupascu, salah satu pendiri protokol OMNIA, menemukan kerentanan ini di dompet Web 3.0 yang populer.
Berapa banyak kerusakan yang bisa dilakukan?
Lupascu menemukan bahwa pihak jahat dapat dengan mudah membuat token non-fungible (NFT) dan mendapatkan alamat IP pengguna dengan mentransfer kepemilikan seni digital secara gratis. Seorang peretas harus mengeluarkan uang serendah $50 untuk menyerang privasi seseorang. Dia menyebutkan, “Jangan meremehkan risiko yang terkait dengan kebocoran IP.”
Lupascu menambahkan bahwa “jika pelaku jahat memperoleh lebih banyak informasi dari alamat IP (pikirkan geolokasi, operator GSM, dll.), mereka dapat mengubahnya menjadi risiko fisik, seperti penculikan.”
Lebih jauh lagi, serangan ini bisa lebih “menghancurkan daripada serangan Distributed Denial of Service (DDoS),” menurut kriptografer. Sebagai perbandingan sederhana, serangan ini bisa delapan kali lebih kuat daripada serangan botnet Mirai pada Oktober 2016 yang melumpuhkan Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb, dan banyak situs web populer lainnya.
Alexandru menerbitkan tur lengkap tentang bagaimana serangan itu dilakukan, mulai dari mencetak NFT hingga mentransfernya ke korban hingga mendapatkan alamat IP dan terakhir, mengorbankan privasi atau bahkan mencuri aset kripto mereka. Dia menguji serangan ini pada aplikasi iOS Metamask versi 3.7.0, tetapi mungkin juga sama untuk versi Android. Dia mencetak NFT di OpenSea, pasar NFT terbesar, dan mengedit kontrak pintar standar ERC-1155 dengan Remix Ethereal IDE.
Apakah mereka memperbaikinya?
Menurut Lupascu, dia menemukan dan menyampaikan kelemahan keamanan kepada tim Metamask pada 14 Desember 2021, tetapi mereka mengabaikan dan menanggapi untuk memperbaiki masalah ini pada Q2 2022. Dia berkata, “Bagi kami, meninggalkan pengguna sebesar itu tidak dapat diterima. dasar berisiko begitu lama, terutama jika ini diketahui sebelumnya, seperti yang mereka katakan. ”
Setelah penelitian ini diperlihatkan ke publik, Daniel Finlay yang merupakan pendiri Metamask, mengaku, “Saya pikir masalah ini telah diketahui secara luas sejak lama, jadi saya rasa periode pengungkapan tidak berlaku.”
Finlay menambahkan, “Alex berhak memanggil kami karena tidak menanganinya lebih awal. Mulai mengerjakannya sekarang. Terima kasih untuk tendangannya, dan maaf kami membutuhkannya.”
Tak ketinggalan, ConsenSys, perusahaan induk Metamask, mengumpulkan $200 juta dengan Metamask melampaui 21 juta pengguna aktif bulanan pada November 2021. Dompet kripto paling populer juga digunakan sebagai pintu gerbang ke 3,700 aplikasi terdesentralisasi Web 3.0 (dApps).
Apa pendapat Anda tentang subjek ini? Tulis kepada kami dan beri tahu kami!
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/