یک کارشناس امنیت شبکه اخیراً گفته است کیف پول محبوب متامسک یک مشکل امنیتی اساسی دارد و توسعهدهندگان آن با اینکه از وجود این نقص فنی مطلع هستند، تاکنون اقدامی برای برطرفکردن آن انجام ندادهاند.
به گزارش کریپتو بریفینگ، الکساندرو لوپاسکو (Alexandru Lupascu)، کارشناس رمزنگاری و امنیت شبکه، هشدار داده است که حریم خصوصی کاربران کیف پول مشهور متامسک، بهشدت در معرض خطر قرار دارد. به گفته او کاربرانی که از طریق اپلیکیشن موبایلی متامسک وارد کیف پول خود میشوند، در معرض خطر افشای آدرس آیپی (IP) خود هستند.
لوپاسکو، یکی از بنیانگذاران پروتکل اومنیا (OMNIA)، ارائهکننده سرویس پرایوسی نود است. او چندی پیش گفته بود نقطهضعف مهمی را در کیف پول محبوب و سازگار با وب ۳.۰ شرکت کانسنسیس (ConsenSys)، یعنی متامسک پیدا کرده است. این نقطهضعف به هکرها راهی برای دسترسی به آدرسهای آیپی کاربران میدهد و در نتیجه حریم خصوصی آنها را به خطر میاندازد.
آدرس آیپی یک شناسه جهانی منحصربهفرد است که به دستگاههای متصل به اینترنت اختصاص داده میشود. از آنجا که کاربران میتوانند داراییهای دیجیتال خود را در کیف پولهای متامسک ذخیره کنند، لورفتن آدرس آیپی یک نگرانی بزرگ محسوب میشود.
لوپاسکو اخیراً مطلبی در وبلاگ خود منتشر کرده است و در آن توضیح میدهد که چگونه میتوان با بهرهگیری از این نقطهضعف و از طریق عرضه و ایردراپکردن یک مجموعه «NFT» به آدرس اتریومی متصل به نسخه موبایلی کیف پول متامسک، از کاربران سوءاستفاده کرد.
توکنهای غیرمثلی یا همان NFTها، داراییهای دیجیتالی هستند که مالکیت محتواهایی مانند آثار هنری دیجیتال، موسیقی و میمهای مشهور با استفاده از آنها در بلاک چین ثبت میشود. NFTها راهی برای توکنسازی محتوا هستند؛ اما معمولاً محتوای واقعی را جایی ذخیره نمیکنند. از آنجا که ذخیره دادههای یک تصویر در بلاک چینهایی مانند اتریوم میتواند پرهزینه باشد، NFTها حاوی آدرسهای اینترنتی (URL) هستند که به دادههای اصلی متصل میشوند. محتوای NFTها اغلب در یک شبکه ذخیرهسازی غیرمتمرکز مثل سیستم پرونده بین سیارهای (IPFS) یا در سرورهای ابری متمرکز با دسترسی از راه دور ذخیره میشود.
برنامه موبایلی متامسک بهطور پیشفرض NFTهای ذخیرهشده در یک آدرس را با فراخواندن URLهای مربوط به دادههای تصویری نمایش میدهد. این دادهها روی سرورهایی که از راه دور میتوان به آنها دسترسی داشت، میزبانی میشوند. گفتنی است در این فرایند نمایش NFTهای موجود در کیف پول اتریوم کاربران، بدون دریافت موافقت آنها انجام میشود.
در این مدل، تمام درگاههای سرور که مسئول مدیریت انتقال دادههای تصویری هستند، اطلاعات آدرس آیپی کاربر را دریافت میکنند. عموماً پروژههایی که با سرورهای نگهداری دادههای تصویری کار میکنند، در تلاش هستند این دادهها را ایمن نگه دارند.
همچنین بخوانید: جرایم در دنیای ارزهای دیجیتال؛ چالشها و راهکارهای مقابله
لوپاسکو در تحقیقات خود به این نتیجه رسیده است که مجرمان اینترنتی میتوانند دادههای مربوط به آیپی کاربران متامسک را پیدا کرده و از این اطلاعات برای اجرای حملات هدفمند سوءاستفاده کنند.
لوپاسکو گفته است:
یک فرد خرابکار تنها با دانستن آدرس بلاک چینی شما، میتواند یک NFT با نشانی اینترنتی سرور خود ایجاد و مالکیت آن را به آدرس شما منتقل کند. بنابراین، هنگامی که کیف پول ارز دیجیتال شما تصویر این توکن را [با استفاده از URL] از سرور او دریافت میکند، حریم خصوصیتان به خطر میافتد.
لوپاسکو این آسیبپذیری را با ساخت یک NFT بر اساس استاندارد «ERC-1155» در بازار اوپنسی (OpenSea) آزمایش کرد. او از یک ویرایشگر قرارداد هوشمند استفاده کرده و آدرس اصلی مرتبط با NFT را تغییر داد تا به سرور جدیدی که تحت کنترل خود اوست، منتقل شود. لوپاسکو سپس این NFT را به یک آدرس اتریومی فرستاد. هنگامی که او از طریق برنامه موبایلی متامسک به آدرس کیف پول دسترسی پیدا کرد، آدرس آیپی او در سروری که کنترل میکرد، ظاهر شد. لوپاسکو گفته اجرای این حمله حدود ۵۰ دلار هزینه داشته است.
او ظاهراً در اواسط دسامبر ۲۰۲۱ (آذر) به تیم متامسک درباره این مشکل هشدار داده است. این یعنی توسعهدهندگان متامسک حداقل یک ماه است که از این مسئله مطلع هستند. تیم متامسک قول داده است یک بهروزرسانی را تا سهماهه دوم سال ۲۰۲۲ منتشر کند. با این حال، بازه زمانی اعلامشده با توجه به اهمیت موضوع، مورد تأیید لوپاسکو نیست و آن را «غیرقابلقبول» میداند.
دانیل فینلی (Daniel Finlay)، بنیانگذار متامسک، به اطلاع از این آسیبپذیری اعتراف کرده است و در توییتی خطاب به لوپاسکو گفته «مدت زیادی است که از این مشکل خبر دارد.»
فینلی افزود:
الکس حق دارد که ما را بهخاطر رسیدگینکردن به این مشکل سرزنش کند. در حال حاضر برای حل این مشکل شروع به کار کردهایم. برای گوشزدکردن این مسئله امنیتی متشکرم و متأسفم که اعلام کنم به چنین اخطاری کاملاً نیاز داشتیم.
فینلی همچنین عنوان کرده است که این کیف پول «بهطور پیشفرض تنها میتواند لینکهای اینترنتی از نوع IPFS را بارگیری کند». علاوه بر این، باید شرایط طوری فراهم شود که کاربران متامسک بتوانند رضایت صریح خود را برای انتقال دادههای NFT ذخیرهشده از سرورهای شخص ثالث اعلام کنند.
در همین حال، لوپاسکو میگوید بهنظر او کاربران اتریوم در صورت دریافت NFTهای ایردراپشده، باید هوشیار باشند و توصیه کرده است که فقط از طریق اوپنسی به این ایردراپها دسترسی داشته باشند.
او گفته است:
تا زمانی که این مشکل در برنامه تلفن همراه [متامسک] برطرف نشود، از پلتفرم اوپنسی و هر کیف پولی که با وب ۳.۰ سازگار است برای تماشای NFTهای خود استفاده کنید. صمیمانه یادآوری میکنم که حفظ حریم خصوصی در محیطهای برونزنجیرهای (خارج از بلاک چین) واقعاً مهم است؛ از آن غافل نشوید.
در ماههای اخیر، خریداران NFT میلیونها دلار از داراییهای دیجیتالی خود را در جریان حملات، هک و کلاهبرداریها از دست دادهاند. بسیاری از کاربران آسیبدیده، NFTهای ارزشمند بورد ایپ یات کلاب (Bored Ape Yacht Club) و سایر مجموعههای محبوب را در کیف پولهای متامسک خود ذخیره کرده بودند که دچار حملات فیشینگ شدند. از آنجا که متامسک یک کیف پول گرم است، سارقان میتوانند با داشتن کلید خصوصی کاربر بهراحتی وجوه آنها را برداشت کنند. کلیدهای خصوصی کیف پول گرم ممکن است از طریق حملات فیشینگ و بدافزارها به خطر بیفتند. به همین خاطر است که این کیف پولها بهطور قابلتوجهی امنیت کمتری نسبت به گزینههای ذخیرهسازی سرد، مانند کیف پولهای سختافزاری دارند که در آنها برای برداشت وجوه نیاز به دسترسی به یک دستگاه فیزیکی است.
متامسک محبوبترین کیف پول وب ۳.۰ برای دسترسی به اتریوم و سایر بلاک چینهای سازگار با ماشین مجازی اتریوم است. طبق گزارشهای کانسنسیس، متامسک تا نوامبر ۲۰۲۱ (آبان) بیش از ۲۱ میلیون کاربر فعال ماهانه داشته است.
در این باره بیشتر بخوانید:
- نوجوان ۱۵ سالهای کیف پول غیرقابل نفوذ مکآفی را هک کرد!
- آسیبپذیریهای کشف شده در کیف پول سختافزاری لجر جدی نیست
- باگ اندروید اطلاعات کیف پول ارزهای دیجیتال را به هکرها میدهد!
- هشدار امنیتی: کاربران دارای ارز دیجیتال، گوگل کروم خود را بهروزرسانی کنند
- هشدار متامسک به دارندگان محصولات اَپل: تنظیمات سرویس iCloud را تغییر دهید
- هشدار: نرمافزار پیشبینی متن گوشیهای هوشمند، عبارت بازیابی کیف پول کاربران را ذخیره میکند