Según una investigación reciente, los usuarios de la billetera criptográfica Metamask podrían correr el riesgo de perder todos sus activos digitales o incluso amenazas físicas. El analista de seguridad y criptógrafo Alexandru Lupascu, cofundador del protocolo OMNIA, encontró esta vulnerabilidad en la popular billetera Web 3.0.
¿Cuánto daño se puede hacer?
Lupascu descubrió que una parte malintencionada puede simplemente crear un token no fungible (NFT) y obtener la dirección IP de un usuario mediante la transferencia gratuita de la propiedad del arte digital. Un pirata informático necesitaría gastar tan solo $ 50 para atacar la privacidad de alguien. Mencionó: “No subestimes el riesgo asociado con las filtraciones de IP”.
Lupascu agregó que "si los actores maliciosos obtienen más información de la dirección IP (piense en la geolocalización, el operador GSM, etc.), pueden convertirla en riesgos físicos, como un secuestro".
Además, este ataque puede ser más "devastador que un ataque de denegación de servicio distribuido (DDoS)", según el criptógrafo. Para una comparación simple, este ataque puede ser ocho veces más poderoso que el ataque de la red de bots Mirai en octubre de 2016 que eliminó Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb y muchos sitios web más populares.
Alexandru publicó un recorrido completo de cómo se realiza el ataque, desde acuñar un NFT hasta transferirlo a la víctima, obtener la dirección IP y, por último, comprometer la privacidad o incluso robar sus criptoactivos. Probó este ataque en la versión 3.7.0 de la aplicación iOS Metamask, pero también podría ser lo mismo para la versión de Android. Acuñó un NFT en OpenSea, el mercado de NFT más grande, y editó el contrato inteligente estándar ERC-1155 con el Remix Etéreo IDE.
¿Lo arreglaron?
Según Lupascu, encontró y abordó la falla de seguridad al equipo de Metamask el 14 de diciembre de 2021, pero lo ignoraron y respondieron para solucionar este problema para el segundo trimestre de 2. Dijo: “Para nosotros, es inaceptable dejar un usuario tan grande”. base en riesgo durante tanto tiempo, especialmente si esto se sabía de antemano, como dicen”.
Después de que esta investigación se mostró al público, Daniel Finlay, quien es el fundador de Metamask, aceptado, “Creo que este problema ha sido ampliamente conocido durante mucho tiempo, por lo que no creo que se aplique un período de divulgación”.
Finlay agregó: “Alex tiene razón al llamarnos por no abordarlo antes. Comenzando a trabajar en eso ahora. Gracias por la patada en los pantalones, y siento que lo necesitáramos”.
No hay que olvidar que ConsenSys, la empresa matriz de Metamask, recaudó 200 millones de dólares y Metamask superó los 21 millones de usuarios activos mensuales en noviembre de 2021. La billetera criptográfica más popular también se utiliza como puerta de entrada a 3,700 aplicaciones descentralizadas (dApps) Web 3.0.
¿Qué opinas de este tema? Escríbenos y cuéntanos!
Observación
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
Fuente: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/