作者joug (好东西不签吗)
看板DigiCurrency
标题[新闻] Metamask 钱包遭爆存在 IP 漏洞!恐衍生
时间Mon Jan 24 16:26:07 2022
Metamask 钱包遭爆存在 IP 漏洞!恐衍生实体绑架、超级 DDoS 攻击
数据保护节点服务 OMNIA Protocol 的共同创办人 Alexandru Lupascu 1 月 20 日在个人
Medium 上发文指出,Metamask 钱包存在一暴露用户 IP 的漏洞,允许恶意攻击者将使用
者的身分与钱包连结,造成重大隐私风险,对此 Metamask 联合创办人 Daniel Finlay
承认此事为真、承诺尽快修补。
过程简单、可能衍生出超级 DDoS 攻击
Alexandru Lupascu 表示,该漏洞的允许恶意攻击者创建一枚 NFT,并在用户使用
Metamask 买进该枚 NFT 时取得用户的 IP 位址,由於 IP 位址具备唯一不可取代性,相
当於取得了识别用户身分的能力。
取得用户 IP 的过程相当容易,Alexandru Lupascu 表示由於将完整图片储存在区块链上
的成本过於昂贵,现有的做法多为将图片存在远端伺服器,区块链上仅储存该图像的 URL
。只要攻击者创建恶意的远端伺服器,当 Metamask 存取该张 NFT 时,用户的 IP 地址
就会外泄。
Alexandru Lupascu 进一步解释:
如果恶意攻击者从 IP 中推敲出更多资讯(例如地理位置、GSM 营运商等),可以进一步
带来实体风险,例如绑架行为。
– 一般 NFT 铸造、交易过程 | 图源:Medium –
该漏洞甚至能进一步衍生出其他攻击方式,Alexandru Lupascu 表示,恶意攻击者可以制
作大量 NFT,并将之统一指向单一 URL(某个歹徒想攻击的网站),接着再以空投为由吸
引无知用户们上钩,如此以来便可对同一 URL 施以 DDoS 攻击,规模可达到 Mirari 殭
屍网路规模的 8 倍(该攻击一度击垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等
)。
– 攻击可能过程演示 | 图源:Medium –
官方去年就收到通知,却迟未修补,创办人出面道歉
Alexandru Lupascu 表示,自己和另外两位同仁 Iman Hossini、Cristian Lupascu 去
年 12 月 14 日便主动联系 Metamask,并提供了初步的漏洞缓解想法,但对方仅表示会
在 2022 Q2 前完成补丁。Alexandru Lupascu 等人认为让庞大的 NFT 用户陷於危机当中
是无法接受的,於是决定诉诸公众、公布漏洞施压 Metamask 处理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞,Android 同样遭到波及,且最新的
3.8.0 版本同样也有此问题。
消息传开後,社群开始炎上此事,Alexandru Lupascu 更表示 Metamask 方在联系前就知
道这个漏洞,却迟迟不处理。至此终於逼出 Metamask 的共同创办人 Daniel Finlay,其
在推特上承认此事:
是的,这个问题早已广为人知,所以我认为不适用漏洞披露。
不过,Alex 指责我们没有尽快解决这个问题是正确的。
我们现在立刻动工,感谢你的指教,我们很需要他。
尽管 Daniel Finlay 紧急止血,但已有乡民愤怒的表示:
为什麽不早点解决?是不是还有其他漏洞,而你正坐视不理?
https://reurl.cc/120qvV
狐狸钱包有IP漏洞 很多人钱放狐狸钱包 专家怎麽看
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.234.147.83 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1643012770.A.DDF.html
1F:推 frrr: 这不算漏洞吧 而且补也没用啊,想查询某人的IP,就空投一个NF 01/24 16:39
2F:→ frrr: T 然後收到的人自行去google时,也会被钓到点那个NFT的官网 01/24 16:39
3F:→ frrr: ,ip不就暴露了 01/24 16:39
4F:→ frrr: 这就只是一种钓别人IP的手法 01/24 16:40
5F:推 DarkerDuck: 要知道对方的IP的确相当容易,用不着啥漏洞 01/24 16:41
6F:推 lnonai: 主要就是ip位址可以对应钱包的话,操作高资产钱包的装置 01/24 16:44
7F:→ lnonai: 就会被锁定攻击 01/24 16:44
8F:推 adamcha: 也是吼 可见冷钱包的重要性 01/24 16:50
9F:推 dmaox3: Ip 漏洞的话 资产本身是安全的吧 01/24 17:21
10F:推 Richun: 资产本身不会被这样盗走,但持有者的位置会被锁定。 01/24 17:24
11F:→ DarkerDuck: 是啊,PTT本身就会记录IP,所以版上的都被锁定了 01/24 17:31
12F:→ DarkerDuck: 要安全的话还是老方法大笔资金放冷钱包 01/24 17:32
13F:推 jackysupper: 怕啥,要担心的也是有100颗BTC的人要担心 01/24 17:34
14F:→ DarkerDuck: 基本上大部分的人都是浮动IP,很难做持续性的攻击 01/24 17:39
15F:→ DarkerDuck: Server才会用固定IP,不过会搞Server的也都有资安意识 01/24 17:40
16F:→ DarkerDuck: 不过说实在的这个"漏洞"有什麽补救方法? 01/24 17:44
17F:→ DarkerDuck: 是要metamask做proxy把所有NFT URI的流量全都重导?? 01/24 17:45
18F:→ DarkerDuck: 还是要做要做一个过滤垃圾NFT机制?? 01/24 17:46
19F:→ DarkerDuck: 无论是哪种方案都会和区块链本来的trustless相违背 01/24 17:47
20F:→ DarkerDuck: 讲白话点,这个攻击不就是跟附图的垃圾邮件一样 01/24 17:47
21F:→ DarkerDuck: 收件者开图了,就知道这个信箱的收件者IP了 01/24 17:48
23F:→ DarkerDuck: 看了最後的建议解决方案就是让使用者多个确认domain 01/24 17:58
24F:→ DarkerDuck: 的动作 01/24 17:58
25F:推 ripple0129: 现在NFT就是个假去中心化的东西 01/24 18:17
26F:推 lnonai: 所以AR跟FIL的价值就突显出来了 01/24 18:27
27F:推 greg7575: 一般上网不止ip会被记。连萤幕长宽都会 01/24 18:46
28F:推 dmaox3: NFT 本身就是中心化的东西啊 你买的是指向某个资料库位置 01/24 19:43
29F:→ dmaox3: 的杂凑值 01/24 19:43
30F:→ saveme: 所以我才说去中心化的架构为基础下去开发新网路, 01/24 20:06
31F:→ saveme: 绝大多数几乎可以挡住 DDOS 攻击, 币现行的挡 DDOS 方式 01/24 20:07
32F:→ saveme: 有效多了. 每个节点都是浮动 IP, 不断地换 IP, DDOS 要攻 01/24 20:08
33F:→ saveme: 击的效果几乎等於零. 01/24 20:08
34F:→ kckckckc: ip位址唯一不可取代性???! 01/24 21:23
35F:推 bluefancy: 一楼长知识 01/24 21:35
36F:推 aspd193: 里面满多ETH的 忽然怕怕der乾 01/25 07:22
37F:推 simpson083: 还好我都用行动网路来开 安全下庄 01/25 10:00
38F:推 fifi82726: 所以开小狐狸买NFT还要搭配VPN 01/27 08:22