Metamask 錢包遭爆存在 IP 漏洞!恐衍生實體綁架、超級 DDoS 攻擊
數據保護節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 1 月 20 日在個人
Medium 上發文指出,Metamask 錢包存在一暴露用戶 IP 的漏洞,允許惡意攻擊者將使用
者的身分與錢包連結,造成重大隱私風險,對此 Metamask 聯合創辦人 Daniel Finlay
承認此事為真、承諾盡快修補。
過程簡單、可能衍生出超級 DDoS 攻擊
Alexandru Lupascu 表示,該漏洞的允許惡意攻擊者創建一枚 NFT,並在用戶使用
Metamask 買進該枚 NFT 時取得用戶的 IP 位址,由於 IP 位址具備唯一不可取代性,相
當於取得了識別用戶身分的能力。
取得用戶 IP 的過程相當容易,Alexandru Lupascu 表示由於將完整圖片儲存在區塊鏈上
的成本過於昂貴,現有的做法多為將圖片存在遠端伺服器,區塊鏈上僅儲存該圖像的 URL
。只要攻擊者創建惡意的遠端伺服器,當 Metamask 存取該張 NFT 時,用戶的 IP 地址
就會外洩。
Alexandru Lupascu 進一步解釋:
如果惡意攻擊者從 IP 中推敲出更多資訊(例如地理位置、GSM 營運商等),可以進一步
帶來實體風險,例如綁架行為。
– 一般 NFT 鑄造、交易過程 | 圖源:Medium –
該漏洞甚至能進一步衍生出其他攻擊方式,Alexandru Lupascu 表示,惡意攻擊者可以製
作大量 NFT,並將之統一指向單一 URL(某個歹徒想攻擊的網站),接著再以空投為由吸
引無知用戶們上鉤,如此以來便可對同一 URL 施以 DDoS 攻擊,規模可達到 Mirari 殭
屍網路規模的 8 倍(該攻擊一度擊垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等
)。
– 攻擊可能過程演示 | 圖源:Medium –
官方去年就收到通知,卻遲未修補,創辦人出面道歉
Alexandru Lupascu 表示,自己和另外兩位同仁 Iman Hossini、Cristian Lupascu 去
年 12 月 14 日便主動聯繫 Metamask,並提供了初步的漏洞緩解想法,但對方僅表示會
在 2022 Q2 前完成補丁。Alexandru Lupascu 等人認為讓龐大的 NFT 用戶陷於危機當中
是無法接受的,於是決定訴諸公眾、公布漏洞施壓 Metamask 處理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞,Android 同樣遭到波及,且最新的
3.8.0 版本同樣也有此問題。
消息傳開後,社群開始炎上此事,Alexandru Lupascu 更表示 Metamask 方在聯繫前就知
道這個漏洞,卻遲遲不處理。至此終於逼出 Metamask 的共同創辦人 Daniel Finlay,其
在推特上承認此事:
是的,這個問題早已廣為人知,所以我認為不適用漏洞披露。
不過,Alex 指責我們沒有盡快解決這個問題是正確的。
我們現在立刻動工,感謝你的指教,我們很需要他。
儘管 Daniel Finlay 緊急止血,但已有鄉民憤怒的表示:
為什麼不早點解決?是不是還有其他漏洞,而你正坐視不理?
https://reurl.cc/120qvV
狐狸錢包有IP漏洞 很多人錢放狐狸錢包 專家怎麼看
--
