信息化觀察網(wǎng)

據(jù)BeInCrypto 1月22日消息，MetaMask加密錢包用戶可能面臨失去所有數(shù)字資產(chǎn)的風(fēng)險(xiǎn)。OMNIA協(xié)議的聯(lián)合創(chuàng)始人、安全分析師和密碼學(xué)家Alexandru Lupascu在這一流行的Web 3.0錢包中發(fā)現(xiàn)了這個(gè)漏洞。

Lupascu發(fā)現(xiàn)，惡意方可以簡(jiǎn)單地創(chuàng)建一個(gè)NFT，并通過轉(zhuǎn)移該NFT的免費(fèi)所有權(quán)來獲取用戶的IP地址。黑客只需花費(fèi)50美元就能攻擊他人的隱私。他提到，“不要低估與IP泄露相關(guān)的風(fēng)險(xiǎn)。”

Lupascu補(bǔ)充說：“如果惡意行為者從IP地址獲得更多信息（比如地理位置、GSM運(yùn)營(yíng)商等），他們可能會(huì)將其轉(zhuǎn)化為綁架等物理風(fēng)險(xiǎn)。”此外，據(jù)這位密碼學(xué)家說，這種攻擊可能“比DDoS攻擊更具破壞性”。做個(gè)簡(jiǎn)單的比較，這種攻擊可能比2016年10月導(dǎo)致Twitter、Reddit、Spotify、GitHub、Netflix、Airbnb等眾多主流網(wǎng)站癱瘓的Mirai僵尸網(wǎng)絡(luò)攻擊強(qiáng)大8倍。

Lupascu表示，他在2021年12月14日發(fā)現(xiàn)了這個(gè)安全漏洞，并向MetaMask團(tuán)隊(duì)提出了解決方案，但他們忽視了這個(gè)問題，并表示將在2022年第二季度之前解決。Lupascu稱：“對(duì)我們來說，讓這么大的用戶群長(zhǎng)期處于風(fēng)險(xiǎn)之中是不可接受的，特別是如果他們事先就知道。”

在這項(xiàng)研究向公眾展示之后，MetaMask的創(chuàng)始人Daniel Finlay承認(rèn)了這一事件：“我認(rèn)為這個(gè)問題已經(jīng)被廣泛知曉很久了，所以我認(rèn)為披露期并不適用。”Finlay補(bǔ)充說：“Lupascu說我們沒有盡早解決這個(gè)問題，他說得沒錯(cuò)。我們現(xiàn)在就開始著手解決這一問題。謝謝你的提醒。”