[新聞] Metamask 錢包遭爆存在 IP 漏洞!恐衍生實體綁架、超級 DDoS 攻擊

看板DigiCurrency (數位貨幣)作者 (好東西不簽嗎)時間4月前 (), 編輯推噓15(15023)
留言38則, 15人參與, 3月前最新討論串1/1
Metamask 錢包遭爆存在 IP 漏洞!恐衍生實體綁架、超級 DDoS 攻擊 數據保護節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 1 月 20 日在個人Medium 上發文指出,Metamask 錢包存在一暴露用戶 IP 的漏洞,允許惡意攻擊者將使用者的身分與錢包連結,造成重大隱私風險,對此 Metamask 聯合創辦人 Daniel Finlay 承認此事為真、承諾盡快修補。 過程簡單、可能衍生出超級 DDoS 攻擊 Alexandru Lupascu 表示,該漏洞的允許惡意攻擊者創建一枚 NFT,並在用戶使用 Metamask 買進該枚 NFT 時取得用戶的 IP 位址,由於 IP 位址具備唯一不可取代性,相當於取得了識別用戶身分的能力。 取得用戶 IP 的過程相當容易,Alexandru Lupascu 表示由於將完整圖片儲存在區塊鏈上的成本過於昂貴,現有的做法多為將圖片存在遠端伺服器,區塊鏈上僅儲存該圖像的 URL。只要攻擊者創建惡意的遠端伺服器,當 Metamask 存取該張 NFT 時,用戶的 IP 地址就會外洩。 Alexandru Lupascu 進一步解釋: 如果惡意攻擊者從 IP 中推敲出更多資訊(例如地理位置、GSM 營運商等),可以進一步帶來實體風險,例如綁架行為。 – 一般 NFT 鑄造、交易過程 | 圖源:Medium – 該漏洞甚至能進一步衍生出其他攻擊方式,Alexandru Lupascu 表示,惡意攻擊者可以製作大量 NFT,並將之統一指向單一 URL(某個歹徒想攻擊的網站),接著再以空投為由吸引無知用戶們上鉤,如此以來便可對同一 URL 施以 DDoS 攻擊,規模可達到 Mirari 殭屍網路規模的 8 倍(該攻擊一度擊垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等)。 – 攻擊可能過程演示 | 圖源:Medium – 官方去年就收到通知,卻遲未修補,創辦人出面道歉 Alexandru Lupascu 表示,自己和另外兩位同仁 Iman Hossini、Cristian Lupascu 去 年 12 月 14 日便主動聯繫 Metamask,並提供了初步的漏洞緩解想法,但對方僅表示會在 2022 Q2 前完成補丁。Alexandru Lupascu 等人認為讓龐大的 NFT 用戶陷於危機當中是無法接受的,於是決定訴諸公眾、公布漏洞施壓 Metamask 處理。 目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞,Android 同樣遭到波及,且最新的 3.8.0 版本同樣也有此問題。 消息傳開後,社群開始炎上此事,Alexandru Lupascu 更表示 Metamask 方在聯繫前就知道這個漏洞,卻遲遲不處理。至此終於逼出 Metamask 的共同創辦人 Daniel Finlay,其在推特上承認此事: 是的,這個問題早已廣為人知,所以我認為不適用漏洞披露。 不過,Alex 指責我們沒有盡快解決這個問題是正確的。 我們現在立刻動工,感謝你的指教,我們很需要他。 儘管 Daniel Finlay 緊急止血,但已有鄉民憤怒的表示: 為什麼不早點解決?是不是還有其他漏洞,而你正坐視不理? https://reurl.cc/120qvV 狐狸錢包有IP漏洞 很多人錢放狐狸錢包 專家怎麼看 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.147.83 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1643012770.A.DDF.html

01/24 16:39, 4月前 , 1F
這不算漏洞吧 而且補也沒用啊,想查詢某人的IP,就空投一個NF
01/24 16:39, 1F

01/24 16:39, 4月前 , 2F
T 然後收到的人自行去google時,也會被釣到點那個NFT的官網
01/24 16:39, 2F

01/24 16:39, 4月前 , 3F
,ip不就暴露了
01/24 16:39, 3F

01/24 16:40, 4月前 , 4F
這就只是一種釣別人IP的手法
01/24 16:40, 4F

01/24 16:41, 4月前 , 5F
要知道對方的IP的確相當容易,用不著啥漏洞
01/24 16:41, 5F

01/24 16:44, 4月前 , 6F
主要就是ip位址可以對應錢包的話,操作高資產錢包的裝置
01/24 16:44, 6F

01/24 16:44, 4月前 , 7F
就會被鎖定攻擊
01/24 16:44, 7F

01/24 16:50, 4月前 , 8F
也是吼 可見冷錢包的重要性
01/24 16:50, 8F

01/24 17:21, 4月前 , 9F
Ip 漏洞的話 資產本身是安全的吧
01/24 17:21, 9F

01/24 17:24, 4月前 , 10F
資產本身不會被這樣盜走,但持有者的位置會被鎖定。
01/24 17:24, 10F

01/24 17:31, 4月前 , 11F
是啊,PTT本身就會記錄IP,所以版上的都被鎖定了
01/24 17:31, 11F

01/24 17:32, 4月前 , 12F
要安全的話還是老方法大筆資金放冷錢包
01/24 17:32, 12F

01/24 17:34, 4月前 , 13F
怕啥,要擔心的也是有100顆BTC的人要擔心
01/24 17:34, 13F

01/24 17:39, 4月前 , 14F
基本上大部分的人都是浮動IP,很難做持續性的攻擊
01/24 17:39, 14F

01/24 17:40, 4月前 , 15F
Server才會用固定IP,不過會搞Server的也都有資安意識
01/24 17:40, 15F

01/24 17:44, 4月前 , 16F
不過說實在的這個"漏洞"有什麼補救方法?
01/24 17:44, 16F

01/24 17:45, 4月前 , 17F
是要metamask做proxy把所有NFT URI的流量全都重導??
01/24 17:45, 17F

01/24 17:46, 4月前 , 18F
還是要做要做一個過濾垃圾NFT機制??
01/24 17:46, 18F

01/24 17:47, 4月前 , 19F
無論是哪種方案都會和區塊鏈本來的trustless相違背
01/24 17:47, 19F

01/24 17:47, 4月前 , 20F
講白話點,這個攻擊不就是跟附圖的垃圾郵件一樣
01/24 17:47, 20F

01/24 17:48, 4月前 , 21F
收件者開圖了,就知道這個信箱的收件者IP了
01/24 17:48, 21F

01/24 17:57, 4月前 , 22F

01/24 17:58, 4月前 , 23F
看了最後的建議解決方案就是讓使用者多個確認domain
01/24 17:58, 23F

01/24 17:58, 4月前 , 24F
的動作
01/24 17:58, 24F

01/24 18:17, 4月前 , 25F
現在NFT就是個假去中心化的東西
01/24 18:17, 25F

01/24 18:27, 4月前 , 26F
所以AR跟FIL的價值就突顯出來了
01/24 18:27, 26F

01/24 18:46, 4月前 , 27F
一般上網不止ip會被記。連螢幕長寬都會
01/24 18:46, 27F

01/24 19:43, 4月前 , 28F
NFT 本身就是中心化的東西啊 你買的是指向某個資料庫位置
01/24 19:43, 28F

01/24 19:43, 4月前 , 29F
的雜湊值
01/24 19:43, 29F

01/24 20:06, 4月前 , 30F
所以我才說去中心化的架構為基礎下去開發新網路,
01/24 20:06, 30F

01/24 20:07, 4月前 , 31F
絕大多數幾乎可以擋住 DDOS 攻擊, 幣現行的擋 DDOS 方式
01/24 20:07, 31F

01/24 20:08, 4月前 , 32F
有效多了. 每個節點都是浮動 IP, 不斷地換 IP, DDOS 要攻
01/24 20:08, 32F

01/24 20:08, 4月前 , 33F
擊的效果幾乎等於零.
01/24 20:08, 33F

01/24 21:23, 4月前 , 34F
ip位址唯一不可取代性???!
01/24 21:23, 34F

01/24 21:35, 4月前 , 35F
一樓長知識
01/24 21:35, 35F

01/25 07:22, 4月前 , 36F
裡面滿多ETH的 忽然怕怕der乾
01/25 07:22, 36F

01/25 10:00, 4月前 , 37F
還好我都用行動網路來開 安全下庄
01/25 10:00, 37F

01/27 08:22, 3月前 , 38F
所以開小狐狸買NFT還要搭配VPN
01/27 08:22, 38F
文章代碼(AID): #1XxcAYtV (DigiCurrency)
文章代碼(AID): #1XxcAYtV (DigiCurrency)