ອີງຕາມການຄົ້ນຄວ້າທີ່ຜ່ານມາ, ຜູ້ໃຊ້ Metamask crypto wallet ສາມາດມີຄວາມສ່ຽງທີ່ຈະສູນເສຍຊັບສິນດິຈິຕອນທັງຫມົດຂອງເຂົາເຈົ້າຫຼືແມ້ກະທັ້ງໄພຂົ່ມຂູ່ທາງດ້ານຮ່າງກາຍ. ນັກວິເຄາະຄວາມປອດໄພ ແລະນັກຂຽນລະຫັດລັບ Alexandru Lupascu, ຜູ້ຮ່ວມກໍ່ຕັ້ງຂອງ OMNIA protocol, ໄດ້ພົບເຫັນຊ່ອງໂຫວ່ນີ້ຢູ່ໃນກະເປົາເງິນ Web 3.0 ທີ່ນິຍົມ.
ອັນຕະລາຍຫຼາຍປານໃດສາມາດເຮັດໄດ້?
Lupascu ພົບວ່າຝ່າຍທີ່ເປັນອັນຕະລາຍພຽງແຕ່ສາມາດສ້າງ token ທີ່ບໍ່ແມ່ນ fungible (NFT) ແລະໄດ້ຮັບທີ່ຢູ່ IP ຂອງຜູ້ໃຊ້ໂດຍການໂອນຄວາມເປັນເຈົ້າຂອງຟຣີຂອງສິນລະປະດິຈິຕອນ. ແຮກເກີຈະຕ້ອງໃຊ້ເງິນຕໍ່າເຖິງ 50 ໂດລາເພື່ອໂຈມຕີຄວາມເປັນສ່ວນຕົວຂອງໃຜຜູ້ໜຶ່ງ. ທ່ານກ່າວວ່າ, "ຢ່າປະເມີນຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບການຮົ່ວໄຫຼ IP."
Lupascu ກ່າວຕື່ມວ່າ "ຖ້າຜູ້ສະແດງທີ່ເປັນອັນຕະລາຍໄດ້ຮັບຂໍ້ມູນເພີ່ມເຕີມຈາກທີ່ຢູ່ IP (ຄິດວ່າ geolocation, GSM carrier, ແລະອື່ນໆ), ພວກເຂົາສາມາດປ່ຽນມັນເຂົ້າໄປໃນຄວາມສ່ຽງທາງດ້ານຮ່າງກາຍເຊັ່ນການລັກພາຕົວ."
ຍິ່ງໄປກວ່ານັ້ນ, ການໂຈມຕີນີ້ສາມາດ "ຮ້າຍກາດຫຼາຍກ່ວາການໂຈມຕີການປະຕິເສດການບໍລິການ (DDoS),", ອີງຕາມນັກຂຽນ crypto. ສໍາລັບການປຽບທຽບທີ່ງ່າຍດາຍ, ການໂຈມຕີນີ້ສາມາດມີອໍານາດແປດເທົ່າຂອງການໂຈມຕີ Mirai botnet ໃນເດືອນຕຸລາ 2016 ທີ່ເອົາລົງ Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb ແລະເວັບໄຊທ໌ທີ່ມີຊື່ສຽງຫຼາຍ.
Alexandru ເຜີຍແຜ່ທັດສະນະທີ່ສົມບູນແບບກ່ຽວກັບວິທີການໂຈມຕີ, ຕັ້ງແຕ່ minting NFT ກັບການໂອນມັນໄປຫາຜູ້ຖືກເຄາະຮ້າຍເພື່ອເອົາທີ່ຢູ່ IP ແລະສຸດທ້າຍ, ການປະນີປະນອມຄວາມເປັນສ່ວນຕົວຫຼືແມ້ກະທັ້ງການລັກຊັບສິນ crypto ຂອງພວກເຂົາ. ລາວໄດ້ທົດສອບການໂຈມຕີນີ້ໃນແອັບຯ iOS Metamask ເວີຊັນ 3.7.0, ແຕ່ມັນອາດຈະເປັນແບບດຽວກັນກັບເວີຊັນ Android. ລາວ minted NFT ໃນ OpenSea, ຕະຫຼາດ NFT ທີ່ໃຫຍ່ທີ່ສຸດ, ແລະແກ້ໄຂສັນຍາສະຫມາດມາດຕະຖານ ERC-1155 ກັບ remix Ethereum IDE.
ພວກເຂົາເຈົ້າໄດ້ແກ້ໄຂມັນບໍ?
ອີງຕາມ Lupascu, ລາວພົບເຫັນແລະແກ້ໄຂຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພໃຫ້ກັບທີມງານ Metamask ໃນວັນທີ 14 ທັນວາ 2021, ແຕ່ພວກເຂົາບໍ່ສົນໃຈແລະຕອບສະຫນອງແກ້ໄຂບັນຫານີ້ໂດຍ Q2 2022. ລາວເວົ້າວ່າ, "ສໍາລັບພວກເຮົາ, ມັນບໍ່ສາມາດຍອມຮັບໄດ້ທີ່ຈະປ່ອຍໃຫ້ຜູ້ໃຊ້ຂະຫນາດໃຫຍ່ດັ່ງກ່າວ. ອີງໃສ່ຄວາມສ່ຽງເປັນເວລາດົນນານ, ໂດຍສະເພາະຖ້າສິ່ງນີ້ຖືກຮູ້ລ່ວງ ໜ້າ, ດັ່ງທີ່ພວກເຂົາເວົ້າ.”
ຫຼັງຈາກການຄົ້ນຄວ້ານີ້ໄດ້ຖືກສະແດງໃຫ້ເຫັນສາທາລະນະ, Daniel Finlay, ຜູ້ທີ່ເປັນຜູ້ກໍ່ຕັ້ງ Metamask, ຍອມຮັບ, "ຂ້າພະເຈົ້າຄິດວ່າບັນຫານີ້ເປັນທີ່ຮູ້ຈັກກັນຢ່າງກວ້າງຂວາງເປັນເວລາດົນນານ, ສະນັ້ນຂ້າພະເຈົ້າບໍ່ຄິດວ່າມີໄລຍະເວລາການເປີດເຜີຍ."
Finlay ກ່າວຕື່ມວ່າ, "Alex ແມ່ນຖືກຕ້ອງທີ່ຈະໂທຫາພວກເຮົາໂດຍບໍ່ໄດ້ກ່າວເຖິງມັນໄວກວ່ານີ້. ເລີ່ມເຮັດວຽກກັບມັນດຽວນີ້. ຂອບໃຈສໍາລັບການເຕະໃນກາງເກງ, ແລະຂໍອະໄພທີ່ພວກເຮົາຕ້ອງການມັນ."
ຢ່າລືມ, ConsenSys, ບໍລິສັດແມ່ຂອງ Metamask, ໄດ້ລະດົມທຶນ 200 ລ້ານໂດລາໂດຍ Metamask ລື່ນກາຍ 21 ລ້ານຜູ້ໃຊ້ປະຈໍາເດືອນໃນເດືອນພະຈິກ 2021. ກະເປົາເງິນ crypto ທີ່ນິຍົມຫຼາຍທີ່ສຸດຍັງຖືກໃຊ້ເປັນປະຕູສູ່ 3,700 Web 3.0 ແອັບພລິເຄຊັນແບບກະຈາຍ (dApps).
ເຈົ້າຄິດແນວໃດກ່ຽວກັບເລື່ອງນີ້? ຂຽນຫາພວກເຮົາແລະບອກພວກເຮົາ!
ຂໍ້ສັງເກດ
ຂໍ້ມູນທັງ ໝົດ ທີ່ມີຢູ່ໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນຖືກເຜີຍແຜ່ດ້ວຍຄວາມຈິງໃຈແລະເພື່ອຈຸດປະສົງຂໍ້ມູນທົ່ວໄປເທົ່ານັ້ນ. ການກະ ທຳ ໃດໆທີ່ຜູ້ອ່ານປະຕິບັດຕາມຂໍ້ມູນທີ່ພົບໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນມີຄວາມສ່ຽງຂອງພວກເຂົາເອງ.
ແຫຼ່ງຂໍ້ມູນ: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/