Người dùng MetaMask có thể đang đặt quyền riêng tư của họ vào nguy hiểm, một nhà mật mã học đã cảnh báo. Alexandru Lupascu, người đồng sáng lập dịch vụ nút bảo mật OMNIA Protocol, nói rằng ông đã tìm thấy một lỗ hổng nghiêm trọng trong ví Web3 phổ biến của ConsenSys, cho phép tin tặc truy cập địa chỉ IP của người dùng, do đó tạo ra rủi ro về quyền riêng tư.
Địa chỉ IP là một định danh toàn cầu duy nhất được gán cho một thiết bị được kết nối với web. Vì người dùng có thể lưu trữ tài sản tiền điện tử của họ trên ví MetaMask, lỗ hổng địa chỉ IP là một mối quan tâm lớn. Lupascu đã xuất bản một bài đăng trên blog giải thích cách lỗ hổng có thể bị khai thác bằng cách đúc và airdropping một bộ sưu tập NFT đến một địa chỉ Ethereum kết nối MetaMask được sử dụng trên điện thoại di động.
NFTs là tài sản kỹ thuật số biểu thị quyền sở hữu nội dung như nghệ thuật kỹ thuật số, âm nhạc và meme. Họ cung cấp một cách để token hóa nội dung nhưng thường không lưu trữ nội dung thực tế. Vì lưu trữ dữ liệu hình ảnh trên một blockchain như Ethereum có thể tốn kém, NFTs chứa Uniform Resource Locators chỉ vào dữ liệu. Nội dung cho NFT thường được lưu trữ trên một mạng lưu trữ phi tập trung như IPFS hoặc trên các máy chủ đám mây tập trung từ xa.
Theo mặc định, ứng dụng di động MetaMask hiển thị NFTs được lưu trữ trong một địa chỉ bằng cách sử dụng cuộc gọi chức năng URL đến dữ liệu hình ảnh. Dữ liệu này được lưu trữ trên các máy chủ từ xa. Quá trình này được thực hiện mà không cần yêu cầu sự đồng ý của người dùng để hiển thị những NFT được chứa trong ví Ethereum của họ.
Trong quá trình lấy này, tất cả các cổng máy chủ xử lý việc truyền dữ liệu hình ảnh đều nhận được thông tin IP của người dùng. Nói chung, các dự án vận hành các máy chủ cho dữ liệu hình ảnh giữ cho dữ liệu an toàn. Trong cuộc điều tra của mình, Lupascu xác định rằng các thực thể độc hại có thể tìm thấy dữ liệu IP của người dùng MetaMask và khai thác thông tin để thực hiện các cuộc tấn công có chủ đích. Trong bài đăng trên blog của mình, Lupascu giải thích:
“Nếu một hacker biết địa chỉ blockchain của bạn, anh ta có thể đúc một NFT với MỘT URL trỏ đến máy chủ của mình và chuyển quyền sở hữu của NFT đến địa chỉ của bạn. Do đó, khi ví tiền điện tử của bạn lấy hình ảnh từ xa từ máy chủ, nó sẽ làm tổn hại đến quyền riêng tư của bạn.”
Lupascu đã kiểm tra lỗ hổng bằng cách đúc NFT trên OpenSea dựa trên tiêu chuẩn ERC-1155. Sau đó, ông đã sử dụng một trình chỉnh sửa hợp đồng thông minh để thay đổi URL gốc được liên kết với NFT để chỉ đến một máy chủ mới dưới sự kiểm soát của mình. Sau đó, Lupascu gửi NFT đến một địa chỉ Ethereum. Khi anh ta truy cập địa chỉ thông qua ứng dụng di động MetaMask, địa chỉ IP của anh ta xuất hiện trong máy chủ mà anh ta điều khiển. Ông cho biết chỉ mất khoảng 50 USD để thực hiện vụ tấn công.
Lupascu nói với Crypto Briefing rằng ông đã thông báo cho nhóm MetaMask về vấn đề này vào giữa tháng 12 năm 2021, có nghĩa là ví Web3 đã nhận thức được vấn đề này trong ít nhất một tháng. Nhóm MetaMask hứa sẽ phát hành một bản vá vào quý II năm 2022 – một khung thời gian mà Lupascu coi là “không thể chấp nhận được” do mức độ nghiêm trọng của vấn đề.
Giải quyết lỗ hổng, người sáng lập MetaMask là Daniel Finlay thừa nhận trong một phản hồi tweet với Lupascu rằng “vấn đề đã được biết đến rộng rãi trong một thời gian dài.” Ông nói thêm:
“Alex đã đúng khi gọi chúng tôi ra vì đã không giải quyết nó sớm hơn. Chúng tôi bắt đầu làm việc để giải quyết nó ngay bây giờ. Cảm ơn vì đã nhắc nhở, và xin lỗi vì chúng tôi cần nó.”
Finlay cũng đã đề xuất rằng ví có thể “chỉ tải các liên kết loại IPFS theo mặc định”. Hơn nữa, người dùng MetaMask sẽ phải đồng ý rõ ràng để lấy dữ liệu NFT được lưu trữ trên các máy chủ của bên thứ ba.
Trong khi đó, Lupascu nói rằng ông nghĩ rằng người dùng Ethereum nên cảnh giác nếu họ nhận được NFTs airdropped, và rằng chỉ nên truy cập chúng thông qua OpenSea. “Cho đến khi vấn đề này được khắc phục trên ứng dụng di động, hãy sử dụng nền tảng OpenSea với bất kỳ ví tương thích Web3 nào để khám phá các bộ sưu tập của bạn. Một lời nhắc nhở tử tế cho mọi người rằng sự riêng tư ngoài chuỗi thực sự quan trọng – đừng bỏ qua nó, ông nói.
Trong những tháng gần đây, các nhà sưu tập NFT đã mất hàng triệu đô la tài sản kỹ thuật số thông qua các cuộc tấn công, hack và lừa đảo. Nhiều người dùng bị ảnh hưởng đã lưu trữ NFT có giá trị từ Bored Ape Yacht Club và các bộ sưu tập được tìm kiếm khác trên ví MetaMask và bị tấn công lừa đảo. Vì MetaMask là một ví nóng, kẻ trộm có thể rút tiền một cách tương đối dễ dàng khi chúng có khóa riêng của người dùng. Vì các khóa riêng tư cho ví nóng có thể bị xâm phạm thông qua các cuộc tấn công lừa đảo và phần mềm độc hại, chúng được coi là kém an toàn hơn các tùy chọn lưu trữ lạnh như ví phần cứng, yêu cầu quyền truy cập vào thiết bị vật lý để truy cập tiền.
MetaMask là ví Web3 phổ biến nhất để truy cập Ethereum và các mạng blockchain tương thích EVM khác. Nó đã có hơn 21 triệu người dùng hoạt động hàng tháng tính đến tháng 11 năm 2021, theo một thông cáo báo chí của ConsenSys.
Theo cryptobriefing
