GŁÓWNA WADA BEZPIECZEŃSTWA w Metamasce... wykryta przez „dobrych hakerów”, naprawiona, zanim źli mogli z niej skorzystać!
Najpopularniejszy na świecie portfel kryptograficzny Metamask ogłosił, że załatał lukę w zabezpieczeniach, która potencjalnie mogła być KATASTROFĄ.
Na szczęście po raz pierwszy został odkryty przez „dobrych hakerów”, którzy natychmiast poinformowali Metamask o usterce i powiedzieli, jak ją naprawić. Działając pod nazwą „The United Global Whitehat Security Team” (UGWST), organizacja była w stanie odebrać nagrodę w wysokości 120,000 XNUMX dolarów za znalezienie luki.
Metamask informuje nas, że ta luka nie dotyczyła żadnego użytkownika. UGWST wydaje się być pierwszym i jedynym, który to odkrył, a swoimi odkryciami podzielił się tylko z Metamaskiem.
Strategia polega na kamuflowaniu złośliwego kodu na stronie tak, aby użytkownik kliknął na nią nie zdając sobie z tego sprawy. Na przykład, jeśli wpadniesz w clickjacking , klikając „Odtwórz” w filmie wideo, możesz przyznać dostęp do swoich środków w portfelu.
Twórcy metamasek natychmiast to naprawili...
Zagrożeni byli tylko użytkownicy rozszerzenia przeglądarki, ale jest to najpopularniejsza metoda uzyskiwania dostępu do portfeli Metamask. Hakerzy zademonstrowali uruchomienie Metamask iframe (czyli strony internetowej w innej witrynie) i ustawienie jej na 0% krycia, innymi słowy w całkowicie przezroczystym oknie - użytkownik nie miałby pojęcia, że istnieje. Następnie chodzi o nakłonienie użytkownika do kliknięcia określonych miejsc na ekranie, nieświadomego, że faktycznie naciska niewidoczny przycisk, który potwierdza transakcję.
Może to wyglądać jak wyskakująca reklama, ale „X”, aby ją zamknąć, jest w rzeczywistości przyciskiem potwierdzającym wysłanie całego Ethereum do kogoś, na przykład.
Upewnij się, że jesteś na bieżąco...
Domyślnie Metamask aktualizuje się automatycznie, ale sprawdź dokładnie swoją, aby być bezpiecznym. Otwórz Metamask, przejdź do „ustawień”, a następnie „o” i upewnij się, że masz wersję 10.14.6 lub nowszą.
Jeśli którykolwiek z tych numerów jest niższy, musisz zaktualizować.
Hakowanie na dobre może być dochodowym przedsięwzięciem...
Metamaska nagradzająca bug Findera 120,000 XNUMX dolarów jest bardzo powszechną praktyką, praktycznie wszyscy główni gracze w branży oferują „bug bounty”, dając hakerom alternatywny, całkowicie legalny sposób na zamienienie swoich odkryć w zysk.
UGWST, organizacja, która to odkryła, pomogła również Apple, Reddit, Microsoft i przeprowadziła audyty bezpieczeństwa dla Crypto.com i OpenSea.
---------------
Autor: Olivera Reddinga
Biuro informacyjne w Seattle / / Recenzja Dimefi