• امروز : سه شنبه - ۱۴ تیر - ۱۴۰۱
  • برابر با : Tuesday - 5 July - 2022
6

کارشناس امنیت: کیف پول متامسک یک مشکل امنیتی اساسی دارد و آن را برطرف نمی‌کند

  • کد خبر : 1918
  • ۰۴ بهمن ۱۴۰۰ - ۱۸:۵۳
یک کارشناس امنیت شبکه اخیراً گفته است کیف پول محبوب متامسک یک مشکل امنیتی اساسی دارد و توسعه‌دهندگان آن با اینکه از وجود این نقص فنی مطلع هستند، تاکنون اقدامی برای برطرف‌کردن آن انجام نداده‌اند.

یک کارشناس امنیت شبکه اخیراً گفته است کیف پول محبوب متامسک یک مشکل امنیتی اساسی دارد و توسعه‌دهندگان آن با اینکه از وجود این نقص فنی مطلع هستند، تاکنون اقدامی برای برطرف‌کردن آن انجام نداده‌اند.

به گزارش متااپست به نقل از ارز دیجیتال، الکساندرو لوپاسکو (Alexandru Lupascu)، کارشناس رمزنگاری و امنیت شبکه، هشدار داده است که حریم خصوصی کاربران کیف پول مشهور متامسک، به‌شدت در معرض خطر قرار دارد. به گفته او کاربرانی که از طریق اپلیکیشن موبایلی متامسک وارد کیف پول خود می‌شوند، در معرض خطر افشای آدرس آی‌پی (IP) خود هستند.

لوپاسکو، یکی از بنیان‌گذاران پروتکل اومنیا (OMNIA)، ارائه‌کننده سرویس پرایوسی نود است. او چندی پیش گفته بود نقطه‌ضعف مهمی را در کیف پول محبوب و سازگار با وب ۳.۰ شرکت کانسنسیس (ConsenSys)، یعنی متامسک پیدا کرده است. این نقطه‌ضعف به هکرها راهی برای دسترسی به آدرس‌های آی‌پی کاربران می‌دهد و در نتیجه حریم خصوصی آنها را به خطر می‌اندازد.

آدرس آی‌پی یک شناسه جهانی منحصربه‌فرد است که به دستگاه‌های متصل به اینترنت اختصاص داده می‌شود. از آنجا که کاربران می‌توانند دارایی‌های دیجیتال خود را در کیف پول‌های متامسک ذخیره کنند، لورفتن آدرس آی‌پی یک نگرانی بزرگ محسوب می‌شود.

لوپاسکو اخیراً مطلبی در وبلاگ خود منتشر کرده است و در آن توضیح می‌دهد که چگونه می‌توان با بهره‌گیری از این نقطه‌ضعف و از طریق عرضه و ایردراپ‌کردن یک مجموعه «NFT» به آدرس اتریومی متصل به نسخه موبایلی کیف پول متامسک، از کاربران سوءاستفاده کرد.

توکن‌های غیرمثلی یا همان NFTها، دارایی‌های دیجیتالی هستند که مالکیت محتواهایی مانند آثار هنری دیجیتال، موسیقی و میم‌های مشهور با استفاده از آنها در بلاک چین ثبت می‌شود. NFTها راهی برای توکن‌سازی محتوا هستند؛ اما معمولاً محتوای واقعی را جایی ذخیره نمی‌کنند. از آنجا که ذخیره داده‌های یک تصویر در بلاک چین‌هایی مانند اتریوم می‌تواند پرهزینه باشد، NFTها حاوی آدرس‌های اینترنتی (URL) هستند که به داده‌های اصلی متصل می‌شوند. محتوای NFTها اغلب در یک شبکه ذخیره‌سازی غیرمتمرکز مثل سیستم پرونده بین سیاره‌ای (IPFS) یا در سرورهای ابری متمرکز با دسترسی از راه دور ذخیره می‌شود.

مطالب خواندنی :  خرید زمین در متاورس، سرمایه گذاری مناسبی است؟

برنامه موبایلی متامسک به‌طور پیش‌فرض NFTهای ذخیره‌شده در یک آدرس را با فراخواندن URLهای مربوط به داده‌های تصویری نمایش می‌دهد. این داده‌ها روی سرورهایی که از راه دور می‌توان به آنها دسترسی داشت، میزبانی می‌شوند. گفتنی است در این فرایند نمایش NFTهای موجود در کیف پول اتریوم کاربران، بدون دریافت موافقت آنها انجام می‌شود.

در این مدل، تمام درگاه‌های سرور که مسئول مدیریت انتقال داده‌های تصویری هستند، اطلاعات آدرس آی‌پی کاربر را دریافت می‌کنند. عموماً پروژه‌هایی که با سرورهای نگهداری داده‌های تصویری کار می‌کنند، در تلاش هستند این داده‌ها را ایمن نگه دارند.

لوپاسکو در تحقیقات خود به این نتیجه رسیده است که مجرمان اینترنتی می‌توانند داده‌های مربوط به آی‌پی کاربران متامسک را پیدا کرده و از این اطلاعات برای اجرای حملات هدفمند سوءاستفاده کنند.

لوپاسکو گفته است:

یک فرد خراب‌کار تنها با دانستن آدرس بلاک چینی شما، می‌تواند یک NFT با نشانی اینترنتی سرور خود ایجاد و مالکیت آن را به آدرس شما منتقل کند. بنابراین، هنگامی که کیف پول ارز دیجیتال شما تصویر این توکن را [با استفاده از URL] از سرور او دریافت می‌کند، حریم خصوصی‌تان به خطر می‌افتد.

لوپاسکو این آسیب‌پذیری را با ساخت یک NFT بر اساس استاندارد «ERC-1155» در بازار اوپن‌سی (OpenSea) آزمایش کرد. او از یک ویرایشگر قرارداد هوشمند استفاده کرده و آدرس اصلی مرتبط با NFT را تغییر داد تا به سرور جدیدی که تحت کنترل خود اوست، منتقل شود. لوپاسکو سپس این NFT را به یک آدرس اتریومی فرستاد. هنگامی که او از طریق برنامه موبایلی متامسک به آدرس کیف پول دسترسی پیدا کرد، آدرس آی‌پی او در سروری که کنترل می‌کرد، ظاهر شد. لوپاسکو گفته اجرای این حمله حدود ۵۰ دلار هزینه داشته است.

مطالب خواندنی :  سلر نتورک (Celer network ) چیست؟

او ظاهراً در اواسط دسامبر ۲۰۲۱ (آذر) به تیم متامسک درباره این مشکل هشدار داده است. این یعنی توسعه‌دهندگان متامسک حداقل یک ماه است که از این مسئله مطلع هستند. تیم متامسک قول داده است یک به‌روزرسانی را تا سه‌ماهه دوم سال ۲۰۲۲ منتشر کند. با این حال، بازه زمانی اعلام‌شده با توجه به اهمیت موضوع، مورد تأیید لوپاسکو نیست و آن را «غیرقابل‌قبول» می‌داند.

دانیل فینلی (Daniel Finlay)، بنیان‌گذار متامسک، به اطلاع از این آسیب‌پذیری اعتراف کرده است و در توییتی خطاب به لوپاسکو گفته «مدت زیادی است که از این مشکل خبر دارد.»

فینلی افزود:

الکس حق دارد که ما را به‌خاطر رسیدگی‌نکردن به این مشکل سرزنش کند. در حال حاضر برای حل این مشکل شروع به کار کرده‌‌ایم. برای گوشزدکردن این مسئله امنیتی متشکرم و متأسفم که اعلام کنم به چنین اخطاری کاملاً نیاز داشتیم.

فینلی همچنین عنوان کرده است که این کیف پول «به‌طور پیش‌فرض تنها می‌تواند لینک‌های اینترنتی از نوع IPFS را بارگیری کند». علاوه بر این، باید شرایط طوری فراهم شود که کاربران متامسک بتوانند رضایت صریح خود را برای انتقال داده‌های NFT ذخیره‌شده از سرورهای شخص ثالث اعلام کنند.

در همین حال، لوپاسکو می‌گوید به‌نظر او کاربران اتریوم در صورت دریافت NFT‌های ایردراپ‌شده، باید هوشیار باشند و توصیه کرده است که فقط از طریق اوپن‌سی به این ایردراپ‌ها دسترسی داشته باشند.

او گفته است:

تا زمانی که این مشکل در برنامه تلفن همراه [متامسک] برطرف نشود، از پلتفرم اوپن‌سی و هر کیف پولی که با وب ۳.۰ سازگار است برای تماشای NFTهای خود استفاده کنید. صمیمانه یادآوری می‌کنم که حفظ حریم خصوصی در محیط‌های برون‌زنجیره‌ای (خارج از بلاک چین) واقعاً مهم است؛ از آن غافل نشوید.

در ماه‌های اخیر، خریداران NFT میلیون‌ها دلار از دارایی‌های دیجیتالی خود را در جریان حملات، هک‌ و کلاهبرداری‌ها از دست داده‌اند. بسیاری از کاربران آسیب‌دیده، NFT‌های ارزشمند بورد ایپ یات کلاب (Bored Ape Yacht Club) و سایر مجموعه‌های محبوب را در کیف پول‌های متامسک خود ذخیره کرده بودند که دچار حملات فیشینگ شدند. از آنجا که متامسک یک کیف پول گرم است، سارقان می‌توانند با داشتن کلید خصوصی کاربر به‌راحتی وجوه آنها را برداشت کنند. کلیدهای خصوصی کیف پول گرم ممکن است از طریق حملات فیشینگ و بدافزارها به خطر بیفتند. به همین خاطر است که این کیف پول‌ها به‌طور قابل‌توجهی امنیت کمتری نسبت به گزینه‌های ذخیره‌سازی سرد، مانند کیف پول‌های سخت‌افزاری دارند که در آنها برای برداشت وجوه نیاز به دسترسی به یک دستگاه فیزیکی است.

مطالب خواندنی :  پایان ترون نزدیک است؟

متامسک محبوب‌ترین کیف پول وب ۳.۰ برای دسترسی به اتریوم و سایر بلاک چین‌های سازگار با ماشین مجازی اتریوم است. طبق گزارش‌های کانسنسیس، متامسک تا نوامبر ۲۰۲۱ (آبان) بیش از ۲۱ میلیون کاربر فعال ماهانه داشته است.

منبع: کریپتو بریفینگ

لینک کوتاه : https://meta.appest.ir/?p=1918

برچسب ها

ثبت دیدگاه

مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : 0
قوانین ارسال دیدگاه
  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.