Theo nghiên cứu gần đây, người dùng ví tiền điện tử MetaMask có thể gặp rủi ro mất tất cả tài sản kỹ thuật số. Thậm chí, phần mềm phổ biến này còn tiềm ẩn nhiều rủi ro nghiêm trọng khác. Nhà phân tích tiền điện tử và bảo mật Alexandru Lupascu, người đồng sáng lập giao thức OMNIA, đã tìm thấy lỗ hổng này.
Mức độ nguy hiểm của lỗ hổng đến mức nào?
Chuyên gia bảo mật Lupascu phát hiện ra rằng mã độc hại có thể chỉ cần tạo mã NFT và lấy địa chỉ IP của người dùng. Chúng xuất hiện bằng cách tạo lệnh giả quyền sở hữu tác phẩm kỹ thuật số. Một hacker sẽ chỉ cần chi 50 USD để tấn công quyền riêng tư của ai đó. Ông đề cập: “Đừng đánh giá thấp rủi ro liên quan đến rò rỉ IP.”
Lupascu nói thêm rằng: “Nếu các tác nhân độc hại lấy thêm thông tin từ địa chỉ IP (nghĩ đến vị trí địa lý, nhà cung cấp dịch vụ GSM, v.v.). Thì chúng có thể biến nó thành rủi ro vật lý, giống như một vụ xâm nhập.”
Hơn nữa, cuộc tấn công này có thể “tàn khốc hơn một cuộc tấn công từ chối dịch vụ phân tán (DDoS).” Nếu đặt lên bàn cân, cuộc tấn công này có thể mạnh gấp 8 lần so với cuộc tấn công mạng botnet Mirai vào tháng 10 năm 2016. Lúc đó, vụ hack đã đánh sập Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb và nhiều trang web phổ biến khác.
Alexandru đã xuất bản một báo cáo đầy đủ về cách thức cuộc tấn công được thực hiện. Từ việc tạo ra một NFT để chuyển mã độc cho nạn nhân để lấy địa chỉ IP và xâm phạm quyền riêng tư hoặc thậm chí đánh cắp tiền điện tử của họ. Anh ta đã thử nghiệm cuộc tấn công này trên phiên bản 3.7.0 của ứng dụng MetaMask iOS. Nhưng nó cũng có thể giống với phiên bản Android. Anh ấy đã đúc một NFT trên OpenSea, thị trường NFT lớn nhất và chỉnh sửa hợp đồng thông minh ERC-1155 với Remix Ethereum IDE.
Đội ngũ nhận phản hồi nhưng phớt lờ
Theo Lupascu, anh ấy đã tìm thấy và giải quyết lỗ hổng bảo mật cho nhóm MetaMask vào ngày 14/12/2021. Nhưng họ đã phớt lờ phản hồi của anh ấy về sự cố này vào quý 2 năm 2022. Anh ấy nói:
“Đối với chúng tôi, việc để người dùng như vậy là không thể chấp nhận được. Đó là một vấn đề to lớn và đứng trước rủi ro trong thời gian dài. Điều đáng nói là họ đã biết điều này trước đó nhưng đã phớt lờ.”
Sau khi nghiên cứu này được công bố trước công chúng, Daniel Finlay, người sáng lập MetaMask, thừa nhận rằng: “Tôi nghĩ vấn đề này đã được biết đến rộng rãi từ lâu, vì vậy tôi không nghĩ rằng thời hạn tiết lộ sẽ được áp dụng.”
Ngoài ra, Finlay nói thêm: “Alex đúng khi gọi chúng tôi vì không giải quyết vấn đề sớm hơn. Bắt đầu làm việc trên nó ngay bây giờ. Cảm ơn vì đã nhắc nhở thiếu sót của chúng tôi, và tôi thật sự muốn nói chúng tôi cần nó. “
Trước đây, ConsenSys, công ty mẹ của MetaMask, đã huy động được 200 triệu đô la. Nhờ vậy, MetaMask liên tục phát triển và vượt qua 21 triệu người dùng hoạt động hàng tháng vào tháng 11 năm 2021. Ví tiền điện tử phổ biến nhất cũng được sử dụng làm cổng vào 3,700 ứng dụng phi tập trung (dApps) Web 3.0.
Bạn nghĩ sao về MetaMask? Hãy chia sẻ quan điểm trong nhóm Telegram của chúng tôi.
Trusted
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
