کارشناس امنیت: کیف پول متامسک یک مشکل امنیتی اساسی دارد و آن را برطرف نمی‌کند

به گزارش آسان بیت کوین و به نقل از ارزدیجیتال، الکساندرو لوپاسکو‌(Alexandru Lupascu)، کارشناس ارزدیجیتالی و امنیت شبکه، هشدار داده است که حریم خصوصی کاربران کیف پول مشهور متامسک، به‌شدت در معرض خطر قرار دارد. به گفته او کاربرانی که از طریق اپلیکیشن موبایلی متامسک وارد کیف پول خود می‌شوند، در معرض خطر افشای آدرس آی‌پی (IP) خود هستند.

لوپاسکو، یکی از بنیان‌گذاران پروتکل اومنیا (OMNIA)، ارائه‌کننده سرویس پرایوسی نود است. او چندی پیش گفته بود نقطه‌ضعف مهمی را در کیف پول محبوب و سازگار با وب ۳.۰ شرکت کانسنسیس (ConsenSys)، یعنی متامسک پیدا کرده است. این نقطه‌ضعف به هکرها راهی برای دسترسی به آدرس‌های آی‌پی کاربران می‌دهد و در نتیجه حریم خصوصی آنها را به خطر می‌اندازد.

آدرس آی‌پی یک شناسه جهانی منحصربه‌فرد است که به دستگاه‌های متصل به اینترنت اختصاص داده می‌شود. از آنجایی که کاربران می‌توانند دارایی‌های دیجیتال خود را در کیف پول‌های متامسک ذخیره کنند، لورفتن آدرس آی‌پی یک نگرانی بزرگ محسوب می‌شود.

لوپاسکو اخیراً مطلبی در وبلاگ خود منتشر کرده است و در آن توضیح می‌دهد که چگونه می‌توان با بهره‌برداری از این نقطه‌ضعف و از طریق عرضه و ایردراپ‌کردن یک مجموعه «NFT» به آدرس اتریومی متصل به نسخه موبایلی کیف پول متامسک، از کاربران سوءاستفاده کرد.

توکن‌های غیرمثلی یا همان NFTها، دارایی‌های دیجیتالی هستند که مالکیت محتواهایی مانند آثار هنری دیجیتال، موسیقی و میم‌های مشهور با استفاده از آنها در بلاک چین ثبت می‌شود. NFTها راهی برای توکن‌سازی محتوا هستند اما معمولاً محتوای واقعی را جایی ذخیره نمی‌کنند. از آنجا که ذخیره داده‌های یک تصویر در بلاک چین‌هایی مانند اتریوم می‌تواند پرهزینه باشد، NFTها حاوی آدرس‌های اینترنتی‌ای (URL) هستند که به داده‌های اصلی متصل می‌شوند. محتوای NFTها اغلب در یک شبکه ذخیره‌سازی غیرمتمرکز مثل سیستم پرونده بین سیاره‌ای (IPFS) یا در سرورهای ابری متمرکز با دسترسی از راه دور ذخیره می‌شود.

برنامه موبایلی متامسک به‌طور پیش‌فرض NFTهای ذخیره‌شده در یک آدرس را با فراخواندن URLهای مربوط به داده‌های تصویری نمایش می‌دهد. این داده‌ها روی سرورهایی که از راه دور می‌توان به آنها دسترسی داشت، میزبانی می‌شوند. گفتنی است که در این فرایند نمایش NFTهای موجود در کیف پول اتریوم کاربران، بدون دریافت موافقت آنها انجام می‌شود.

در این مدل، تمام درگاه‌های سرور که مسئول مدیریت انتقال داده‌های تصویری هستند، اطلاعات آدرس آی‌پی کاربر را دریافت می‌کنند. عموماً پروژه‌هایی که با سرورهای نگهداری داده‌های تصویری کار می‌کنند، در تلاش هستند تا این داده‌ها را ایمن نگه دارند.

لوپاسکو در تحقیقات خود به این نتیجه رسیده است که مجرمان اینترنتی می‌توانند داده‌های مربوط به آی‌پی کاربران متامسک را پیدا کرده و از این اطلاعات برای اجرای حملات هدفمند سوءاستفاده کنند.

لوپاسکو گفته است:

«یک فرد خراب‌کار تنها با دانستن آدرس بلاک چینی شما، می‌تواند یک NFT با نشانی اینترنتی سرور خود ایجاد و مالکیت آن را به آدرس شما منتقل کند. بنابراین، هنگامی که کیف پول ارز دیجیتال شما تصویر این توکن را [با استفاده از URL] از سرور او دریافت می‌کند، حریم خصوصی‌تان به خطر می‌افتد.»

لوپاسکو این آسیب‌پذیری را با ساخت یک NFT بر اساس استاندارد «ERC-1155» در بازار اوپن‌سی (OpenSea) آزمایش کرده است. او از یک ویرایشگر قرارداد هوشمند استفاده کرده و آدرس اصلی مرتبط با NFT را تغییر داده است تا به سرور جدیدی که تحت کنترل خود اوست، منتقل شود. لوپاسکو سپس این NFT را به یک آدرس اتریومی فرستاده است. هنگامی که او از طریق برنامه موبایلی متامسک به آدرس کیف پول دسترسی پیدا کرد، آدرس آی‌پی او در سروری که کنترل می‌کرد، ظاهر شد. لوپاسکو گفته اجرای این حمله حدود ۵۰ دلار هزینه داشته است.

او ظاهراً در اواسط دسامبر ۲۰۲۱ (آذر) به تیم متامسک در مورد این مشکل هشدار داده است. این یعنی توسعه‌دهندگان متامسک حداقل یک ماه است که از این مسئله مطلع هستند. تیم متامسک قول داده است که یک به‌روزرسانی را تا سه‌ماهه دوم سال ۲۰۲۲ منتشر کند. با این حال، بازه زمانی اعلام‌شده با توجه به اهمیت موضوع، مورد تأیید لوپاسکو نیست و آن را «غیرقابل‌قبول» می‌داند.

دانیل فینلی (Daniel Finlay)، بنیان‌گذار متامسک، به اطلاع از این آسیب‌پذیری اعتراف کرده است و در توییتی خطاب به لوپاسکو گفته «مدت زیادی است که از این مشکل خبر دارد.»

فینلی افزود:

«الکس حق دارد که ما را به خاطر رسیدگی‌نکردن به این مشکل سرزنش کند. اکنون کار را برای این مشکل آغاز کرده‌‌ایم. برای گوشزدکردن این مسئله امنیتی متشکرم و متأسفم که اعلام کنم به چنین اخطاری کاملاً نیاز داشتیم.»

فینلی همچنین عنوان کرده است که این کیف پول «به‌طور پیش‌فرض تنها می‌تواند لینک‌های اینترنتی از نوع IPFS را بارگیری کند». علاوه بر این، باید شرایط طوری فراهم شود که کاربران متامسک بتوانند رضایت صریح خود را برای انتقال داده‌های NFT ذخیره‌شده از سرورهای شخص ثالث اعلام کنند.

در همین حال، لوپاسکو می‌گوید فکر می‌کند کاربران اتریوم در صورت دریافت NFT‌های ایردراپ‌شده، باید هوشیار باشند و توصیه کرده است که فقط از طریق اوپن‌سی به این ایردراپ‌ها دسترسی داشته باشند.

او گفته است:

«تا زمانی که این مشکل در برنامه تلفن همراه [متامسک] برطرف نشود، از پلتفرم اوپن‌سی و هر کیف پولی که با وب ۳.۰ سازگار است برای تماشای NFTهای خود استفاده کنید. صمیمانه یادآوری می‌کنم که حفظ حریم خصوصی در محیط‌های برون‌زنجیره‌ای (خارج از بلاک چین) واقعاً مهم است؛ از آن غافل نشوید.»

در ماه‌های اخیر، خریداران NFT میلیون‌ها دلار از دارایی‌های دیجیتالی خود را در جریان حملات، هک‌ و کلاهبرداری‌ها از دست داده‌اند. بسیاری از کاربران آسیب‌دیده NFT‌های ارزشمند بورد ایپ یات کلاب (Bored Ape Yacht Club) و سایر مجموعه‌های محبوب را در کیف پول‌های متامسک خود ذخیره کرده بودند که دچار حملات فیشینگ شدند. از آنجایی که متامسک یک کیف پول گرم است، سارقان می‌توانند با داشتن کلید خصوصی کاربر به‌راحتی وجوه آنها را برداشت کنند. کلیدهای خصوصی کیف پول گرم ممکن است از طریق حملات فیشینگ و بدافزارها به خطر بیفتند. به همین خاطر است که این کیف پول‌ها به‌طور قابل‌توجهی امنیت کمتری نسبت به گزینه‌های ذخیره‌سازی سرد، مانند کیف پول‌های سخت‌افزاری دارند که در آنها برای برداشت وجوه نیاز به دسترسی به یک دستگاه فیزیکی است.

متامسک محبوب‌ترین کیف پول وب ۳.۰ برای دسترسی به اتریوم و سایر بلاک چین‌های سازگار با ماشین مجازی اتریوم است. طبق گزارش‌های کانسنسیس، متامسک تا نوامبر ۲۰۲۱ (آبان) بیش از ۲۱ میلیون کاربر فعال ماهانه داشته است.

لینک کوتاه: b2n.ir/s78086