ثغرة خطيرة في محفظة ميتاماسك تعرض المستخدمين للخطر

يقول Alexandru Lupascu إن مستخدمي محفظة ميتاماسك الذين يستخدمون التطبيق على الأجهزة المحمولة معرضون لخطر الكشف عن عنوان IP الخاص بهم.

يمكن لتطبيق ميتاماسك على الموبايل الكشف عن خصوصية المستخدمين.

حذر أحد خبراء العملات الرقمية من أن مستخدمي ميتاماسك قد يعرضون خصوصيتهم للخطر.

يقول ألكسندرو لوباسكو، الذي شارك في تأسيس بروتوكول OMNIA لخدمة عقدة الخصوصية، إنه وجد ثغرة خطيرة في محفظة Web3 الشهيرة من ConsenSys والتي تمنح المتسللين طريقة للوصول إلى عناوين IP الخاصة بالمستخدمين، وبالتالي خلق خطر على الخصوصية.

عنوان IP هو معرف عالمي فريد يتم تعيينه لجهاز متصل بالويب. نظرًا لأنه يمكن للمستخدمين تخزين العملات الرقمية الخاصة بهم على محافظ ميتاماسك، فإن ثغرة في عنوان IP تعد مصدر قلق كبير لأنها يمكن أن تخلق طريقة للمتسللين لتحديد مكان وصول المستخدم إلى المحفظة.

نشر Lupascu منشور مدونة يشرح كيف يمكن استغلال الثغرة الأمنية عن طريق سك وإسقاط NFT (الرموز غبر القابلة للاستبدال) على عنوان إيثريوم المتصل بـ ميتاماسك والمستخدم على الهاتف المحمول.

NFTs هي أصول رقمية تشير إلى ملكية المحتوى مثل الفن الرقمي والموسيقى والميمات. إنها توفر طريقة لترميز المحتوى ولكنها عادةً لا تخزن المحتوى الفعلي. نظرًا لأن تخزين بيانات الصورة على بلوكتشين مثل إيثريوم يمكن أن يكون مكلفًا، تحتوي NFTs على Uniform Resource Locators التي تشير إلى البيانات. غالبًا ما يتم تخزين محتوى NFTs إما على شبكة تخزين لامركزية مثل IPFS أو على خوادم سحابية مركزية بعيدة.

بشكل افتراض، يعرض تطبيق ميتاماسك للجوال NFTs المخزنة في عنوان باستخدام استدعاء وظيفة URL لبيانات الصورة. هذه البيانات مستضافة على خوادم بعيدة. تتم العملية دون طلب موافقة المستخدم من أجل عرض NFTs الموجودة في محفظة إيثريوم الخاصة بهم.

أثناء عملية الجلب هذه، تتلقى جميع بوابات الخادم التي تتعامل مع نقل بيانات الصورة معلومات IP الخاصة بالمستخدم. بشكل عام، تحافظ المشاريع التي تقوم بتشغيل الخوادم لبيانات الصورة على أمان البيانات.

قرر Lupascu في تحقيقه أن الكيانات الخبيثة يمكنها العثور على بيانات IP لمستخدمي ميتاماسك واستغلال المعلومات لتنفيذ هجمات مستهدفة. في تدوينة على مدونته، أوضح لوباسكو:

“إذا كان الممثل الضار يعرف فقط عنوان بلوكتشين الخاص بك، فيمكنه سك عنوان NFT بعنوان URL يشير إلى خادمه ونقل ملكية NFT إلى عنوانك. وبالتالي، عندما تجلب محفظتك الرقمية الصورة البعيدة من الخادم، فإنها ستعرض خصوصيتك للخطر”

اختبر Lupascu الثغرة الأمنية عن طريق سك NFT على OpenSea بناءً على معيار ERC-1155. ثم استخدم محرر العقود الذكي لتغيير عنوان URL الأصلي المرتبط بـ NFT للإشارة إلى خادم جديد تحت سيطرته. بعد ذلك، أرسل Lupascu روز NFT إلى عنوان إيثريوم. عندما وصل إلى العنوان من خلال تطبيق ميتاماسك للجوال، ظهر عنوان IP الخاص به في الخادم الذي يتحكم فيه. وقال إن تنفيذ الهجوم كلف حوالي 50 دولارا.

أخبر لوباسكو Crypto Briefing أنه أخطر فريق ميتاماسك بالمشكلة في منتصف ديسمبر 2021، مما يعني أن محفظة Web3 كانت على علم بالمشكلة لمدة شهر على الأقل. وعد فريق ميتاماسك بإصدار تصحيح بحلول الربع الثاني من عام 2022 – وهو إطار زمني يعتبره Lupascu “غير مقبول” نظرًا لخطورة الأمر.

لمعالجة الثغرة الأمنية، اعترف دانييل فينلي، مؤسس ميتاماسك، في تغريدة رد على Lupascu أن “المشكلة معروفة على نطاق واسع منذ فترة طويلة”. أضاف:

“أليكس محق في الاتصال بنا لعدم مخاطبته عاجلاً. بدء العمل عليها الآن. شكرا على الركلة في البنطال، ونأسف لأننا كنا في حاجة إليها “

Yeah, I think this issue has been widely known for a long time, so I don't think a disclosure period applies. Alex is right to call us out for not addressing it sooner. Starting work on it now. Thanks for the kick in the pants, and sorry we needed it. https://t.co/SeKMRKSUGN

— Dan Finlay (@danfinlay) January 20, 2022

اقترح Finlay أيضًا أن المحفظة يمكنها “تحميل روابط من نوع IPFS افتراضيًا فقط”. علاوة على ذلك، سيتعين على مستخدمي ميتاماسك إعطاء موافقة صريحة لجلب بيانات NFT المخزنة على خوادم الطرف الثالث.

Our current designs are yes, to only load ipfs type links by default, require consent to reveal 3rd party sites, or allow users to opt into loading any 3rd party image source.

— Dan Finlay (@danfinlay) January 20, 2022

في غضون ذلك، يقول لوباسكو إنه يعتقد أن مستخدمي إيثريوم يجب أن يكونوا يقظين إذا تلقوا NFTs، وأنه من المستحسن الوصول إليها فقط من خلال OpenSea.

“حتى يتم إصلاح هذه المشكلة على تطبيق الهاتف المحمول، استخدم منصة OpenSea مع أي محفظة متوافقة مع Web3 لاستعراض مقتنياتك. وقال إنه تذكير لطيف للجميع بأن الخصوصية خارج السلسلة مهمة حقًا – لا تهملها “

في الأشهر الأخيرة، خسر جامعو NFT أصولًا رقمية تقدر بملايين الدولارات من خلال الهجمات والقرصنة وعمليات الاحتيال. قام العديد من المستخدمين المتأثرين بتخزين NFTs القيمة من Bored Ape Yacht Club (عبارة عن مجموعة من 10000 NFT فريدة من نوعها للقرد Bored Ape ) والمجموعات الأخرى المرغوبة على محافظ ميتاماسك وعانوا من هجمات التصيد. نظرًا لأن ميتاماسك عبارة عن محفظة ساخنة، يمكن للصوص استنزاف الأموال بسهولة نسبية بمجرد حصولهم على المفتاح الخاص للمستخدم. نظرًا لأن المفاتيح الخاصة للمحفظة الساخنة يمكن اختراقها من خلال هجمات التصيد والبرامج الضارة، فإنها تعتبر على نطاق واسع أقل أمانًا من خيارات التخزين البارد مثل محافظ الأجهزة، والتي تتطلب الوصول إلى جهاز مادي للوصول إلى الأموال.

ميتاماسك هي محفظة Web3 الأكثر شيوعًا للوصول إلى إيثريوم وشبكات بلوكتشين الأخرى المتوافقة مع EVM. كان لديها أكثر من 21 مليون مستخدم نشط شهريًا اعتبارًا من نوفمبر 2021، وفقًا لبيان صحفي من ConsenSys.