MetaMaskは、重大なプライバシーの脆弱性があることを知っていますが、修正していません

Alexandru Lupascuは、モバイルデバイスでアプリにアクセスするMetaMaskユーザーは、自分のIPアドレスを公開するリスクがあると述べています。

MetaMaskモバイルアプリはユーザーのプライバシーを暴露する可能性があります

MetaMaskユーザーはプライバシーを危険にさらしている可能性があると暗号研究者は警告しています。

プライバシーノードサービスOMNIAProtocolを共同設立したAlexandruLupascuは、ハッカーがユーザーのIPアドレスにアクセスする方法を提供する、ConsenSysの人気のあるWeb3ウォレットに重大な脆弱性を発見し、プライバシーリスクを生み出していると述べています。 IPアドレスは、Webに接続されているデバイスに割り当てられた一意のグローバル識別子です。 ユーザーは暗号資産をMetaMaskウォレットに保存できるため、IPアドレスの脆弱性は、ハッカーがユーザーがウォレットにアクセスする場所を特定する方法を作成する可能性があるため、大きな懸念事項です。

Lupascuが公開されました ブログ投稿 携帯電話で使用されているMetaMaskに接続されたイーサリアムアドレスにNFT収集品を作成してエアドロップすることにより、この脆弱性がどのように悪用されるかを説明します。

NFTは、デジタルアート、音楽、ミームなどのコンテンツの所有権を示すデジタルアセットです。 これらはコンテンツをトークン化する方法を提供しますが、通常は実際のコンテンツを保存しません。 イーサリアムのようなブロックチェーンに画像データを保存するとコストがかかる可能性があるため、NFTにはデータを指すUniform ResourceLocatorが含まれています。 NFTのコンテンツは、多くの場合、IPFSなどの分散型ストレージネットワークまたはリモートの集中型クラウドサーバーに保存されます。

デフォルトでは、MetaMaskモバイルアプリは、画像データへのURL関数呼び出しを使用してアドレスに保存されたNFTを表示します。 このデータはリモートサーバーでホストされます。 このプロセスは、イーサリアムウォレットに含まれているNFTを表示するために、ユーザーの同意を求めることなく実行されます。

このフェッチプロセス中に、画像データの送信を処理するすべてのサーバーゲートウェイがユーザーのIP情報を受信します。 一般に、イメージデータ用のサーバーを操作するプロジェクトは、データを安全に保ちます。

Lupascuは調査の結果、悪意のあるエンティティがMetaMaskユーザーのIPデータを見つけ、その情報を悪用して標的型攻撃を実行できると判断しました。 彼のブログ投稿で、Lupascuは次のように説明しています。

「悪意のあるアクターがあなたのブロックチェーンアドレスしか知らない場合、彼は自分のサーバーを指すURLでNFTを作成し、NFTの所有権をあなたのアドレスに譲渡することができます。 したがって、暗号ウォレットがサーバーからリモートイメージをフェッチすると、プライバシーが侵害されます。」

Lupascuは、ERC-1155標準に基づいてOpenSeaでNFTを作成することにより、脆弱性をテストしました。 次に、スマートコントラクトエディターを使用して、NFTにリンクされている元のURLを変更し、自分の管理下にある新しいサーバーを指すようにしました。 次に、LupascuはNFTをEthereumアドレスに送信しました。 彼がMetaMaskモバイルアプリを介してアドレスにアクセスしたとき、彼のIPアドレスは彼が制御したサーバーに表示されました。 彼は、攻撃を実行するのに約50ドルかかると言いました。

LupascuはCryptoBriefingに、2021年12月中旬にこの問題についてMetaMaskチームに通知したと語りました。これは、Web3ウォレットが少なくとも1か月間この問題を認識していることを意味します。 MetaMaskチームは、2022年の第2四半期までにパッチをリリースすることを約束しました。これは、問題の重大性を考えると、Lupascuが「受け入れられない」と考える時間枠です。

「アレックスは、すぐに対処しなかったために私たちを呼び出すのは正しいです。 今すぐ作業を開始します。 ズボンを蹴ってくれてありがとう、そして申し訳ありませんがそれが必要でした。」

Finlayは また提案 ウォレットは「デフォルトではIPFSタイプのリンクのみをロードできます」。 さらに、MetaMaskユーザーは、サードパーティのサーバーに保存されているNFTデータをフェッチすることに明示的に同意する必要があります。

一方、Lupascuは、Ethereumユーザーが空中投下されたNFTを受け取った場合は警戒する必要があると考えており、OpenSea経由でのみアクセスすることをお勧めします。 「この問題がモバイルアプリケーションで修正されるまで、OpenSeaプラットフォームとWeb3互換ウォレットを使用して収集品を調べてください。 オフチェーンのプライバシーは本当に重要であるということをみんなに親切に思い出させてください。それを無視しないでください」と彼は言いました。

ここ数ヶ月、NFTコレクターは、攻撃、ハッキング、詐欺によって数百万ドル相当のデジタル資産を失いました。 影響を受けたユーザーの多くは、Bored Ape Yacht Clubやその他の人気のあるコレクションからの貴重なNFTをMetaMaskウォレットに保存し、フィッシング攻撃に苦しんでいました。 MetaMaskはホットウォレットであるため、ユーザーの秘密鍵を入手すると、泥棒は比較的簡単に資金を流出させることができます。 ホットウォレットの秘密鍵はフィッシングやマルウェア攻撃によって侵害される可能性があるため、資金にアクセスするために物理デバイスへのアクセスを必要とするハードウェアウォレットなどのコールドストレージオプションよりも安全性が低いと広く考えられています。

MetaMaskは、イーサリアムやその他のEVM互換ブロックチェーンネットワークにアクセスするための最も人気のあるWeb3ウォレットです。 2021年11月の時点で、月間アクティブユーザー数は2,100万人を超えています。 ConsenSysのプレスリリース。

開示：これを書いている時点で、この作品の作者はETHと他の暗号通貨を所有していました。