آسیب‌پذیری حریم خصوصی در کیف پول متامسک

الکساندرو لوپاسکو (Alexandru Lupascu) متخصص امنیت شبکه و هم‌بنیانگذار شرکت امنیتی امنیا (OMNIA) در مورد وجود آسیب‌پذیری امنیتی در کیف پول متامسک هشدار داد. به موجب این آسیب‌پذیری مهاجمان توسط ایردراپ کردن توکن‌های NFT می‌توانند آدرس IP کاربر را پیدا کنند.

به گزارش میهن بلاکچین و به نقل از کریپتو بریفینگ، این باگ امنیتی کاربرانی را که از نسخه تلفن همراه کیف پول متامسک استفاده می‌کنند، مورد تهدید قرار می‌دهد. IP آدرسی است که مشخصه جهانی هردستگاه متصل به اینترنت است و این باگ امنیتی حریم خصوصی کاربران را مورد تهدید قرار می‌دهد.

لوپاسکو در پستی در وبلاگ خود به چگونگی ایجاد این آسیب‌پذیری اشاره کرد. در این پروسه مهاجمان حمله اکسپلویت را توسط ایجاد و ایردراپ توکن‌های NFT در یک کیف‌ پول (نسخه تلفن همراه) ترتیب می‌دهند. به صورت پیش‌فرض نشان دادن NFT در کیف پول متامسک با فراخوانی آدرس داده‌های عکس متصل به آن توکن همراه است. عکس‌ها در بلاکچین (در اینجا اتریوم) ذخیره نمی‌شوند و تنها با یک آدرس خارجی به آن دسترسی داده می‌شود. می‌توان تصاویر را در بلاکچین اتریوم نیز ذخیره کرد اما این کار هزینه بسیار بالایی دارد.

این داده‌ها عموما روی یک سرور قرار دارند و این فراخوانی بدون کسب اجازه از کاربر انجام می‌گیرد. در این پروسه گیت‌وی‌های سرور وظیفه کنترل انتقال داده‌های عکس متصل به NFT را به آدرس IP کاربر مورد نظر، برعهده دارند. این همان جایی است که مهاجمان اطلاعات آدرس IP کاربران را استخراج می‌کنند. لوپاسکو افزود:

اگر یک برنامه مخرب آدرس بلاکچین شما را بداند، می‌تواند یک توکن NFT را بسازد که آدرس داده‌های آن به سرور خودش اشاره کند. پس از انتقال آن NFT به آدرس کیف پول شما، متامسک اطلاعات آن توکن را از آن سرور دریافت خواهد کرد و (توسط گیت‌وی‌های) سرور حریم خصوصی شما به خطر می‌افتد.

لوپاسکو برای امتحان کردن این قضیه، یک توکن NFT را در پلتفرم اوپن‌سی (OpenSea) با استاندارد ERC-1155 ایجاد کرد. او سپس از یک ویرایشگر قرادادهای هوشمند برای تغییر آدرس سرور این توکن استفاده کرد و در نهایت آن توکن را به یک آدرس اتریوم انتقال داد. او زمانی که از کیف پول نسخه موبایل متامسک برای این آدرس استفاده کرد، اطلاعات آدرس IP روی سرور مورد نظر رویت شد. این فرآیند برای به دست آوردن آدرس IP برای لوپاسکو تنها حدود ۵۰ دلار هزینه در بر داشت.

لوپاسکو ادامه داد که او در اواسط ماه دسامبر (آذر) تیم پشتیبانی متامسک را در جریان این مشکل قرار داده است و این تیم وعده حل این مشکل را تا ۳ ماهه دوم ۲۰۲۲ داده‌اند.

دنیل فینلی (Daniel Finlay) مدیر عامل متامسک در توییتی به این مسئله پرداخت و تایید کرد مدتی است که متوجه این موضوع شده‌اند. او افزود این کیف پول تنها لینک‌های از نوع IPFS را بارگیری می‌کند و از کاربران برای فراخوانی داده‌های روی سرور (شخص ثالث) کسب اجازه می‌شود.

لوپاسکو در انتها به کاربران توصیه کرد در صورت دریافت توکن‌های NFT تحت عنوان ایردراپ، کاملا هوشیار باشند و جهت دسترسی به این توکن‌ها، تنها از اتصال کیف‌ پول‌های مبتنی بر Web3 به پلتفرم اوپن‌سی استفاده کنند.

متامسک محبوب‌ترین کیف‌ پول مبتنی بر Web3 اتریوم و سایر بلاکچین‌های سازگار با ماشین مجازی اتریوم (EVM) است که بیش از ۲۱ میلیون کاربر فعال در ماه را در اختیار دارد.