廣受歡迎的以太坊錢包 Metamask 驚傳存在重大漏洞!OMNIA Protocol 的共同創辦人 Alexandru Lupascu 20 日表示,惡意攻擊者可透過販售 NFT,輕鬆取得用戶的 IP 位址,此舉除了可能導致綁架事件發生,更可能衍生出超級 DDos 攻擊。
(前情提要:Metamask「發幣 amp;空投傳言」盛傳,Metamask Swap 、Polygon 鏈上活動激增
(背景補充:新手教學 | 去中心化錢包 Metamask:註冊、交易、手續費評估、紀錄查詢一次學會)
數據保護節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 1 月 20 日在個人 Medium 上發文指出,Metamask 錢包存在一暴露用戶 IP 的漏洞,允許惡意攻擊者將使用者的身分與錢包連結,造成重大隱私風險,對此 Metamask 聯合創辦人 Daniel Finlay 承認此事為真、承諾盡快修補。
延伸閱讀:SOS仿盤|Maskdao剛宣布要空投,就被 Metamask 警告「網路釣魚」項目!
過程簡單、可能衍生出超級 DDoS 攻擊
Alexandru Lupascu 表示,該漏洞的允許惡意攻擊者創建一枚 NFT,並在用戶使用 Metamask 買進該枚 NFT 時取得用戶的 IP 位址,由於 IP 位址具備唯一不可取代性,相當於取得了識別用戶身分的能力。
取得用戶 IP 的過程相當容易,Alexandru Lupascu 表示由於將完整圖片儲存在區塊鏈上的成本過於昂貴,現有的做法多為將圖片存在遠端伺服器,區塊鏈上僅儲存該圖像的 URL。只要攻擊者創建惡意的遠端伺服器,當 Metamask 存取該張 NFT 時,用戶的 IP 地址就會外洩。
Alexandru Lupascu 進一步解釋:
如果惡意攻擊者從 IP 中推敲出更多資訊(例如地理位置、GSM 營運商等),可以進一步帶來實體風險,例如綁架行為。
該漏洞甚至能進一步衍生出其他攻擊方式,Alexandru Lupascu 表示,惡意攻擊者可以製作大量 NFT,並將之統一指向單一 URL(某個歹徒想攻擊的網站),接著再以空投為由吸引無知用戶們上鉤,如此以來便可對同一 URL 施以 DDoS 攻擊,規模可達到 Mirari 殭屍網路規模的 8 倍(該攻擊一度擊垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等)。
官方去年就收到通知,卻遲未修補,創辦人出面道歉
Alexandru Lupascu 表示,自己和另外兩位同仁 Iman Hossini、Cristian Lupascu 去年 12 月 14 日便主動聯繫 Metamask,並提供了初步的漏洞緩解想法,但對方僅表示會在 2022 Q2 前完成補丁。Alexandru Lupascu 等人認為讓龐大的 NFT 用戶陷於危機當中是無法接受的,於是決定訴諸公眾、公布漏洞施壓 Metamask 處理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞,Android 同樣遭到波及,且最新的 3.8.0 版本同樣也有此問題。
消息傳開後,社群開始炎上此事,Alexandru Lupascu 更表示 Metamask 方在聯繫前就知道這個漏洞,卻遲遲不處理。至此終於逼出 Metamask 的共同創辦人 Daniel Finlay,其在推特上承認此事:
是的,這個問題早已廣為人知,所以我認為不適用漏洞披露。
不過,Alex 指責我們沒有盡快解決這個問題是正確的。
我們現在立刻動工,感謝你的指教,我們很需要他。
Yeah, I think this issue has been widely known for a long time, so I don’t think a disclosure period applies. Alex is right to call us out for not addressing it sooner. Starting work on it now. Thanks for the kick in the pants, and sorry we needed it. https://t.co/SeKMRKSUGN
— Dan Finlay (@danfinlay) January 20, 2022
儘管 Daniel Finlay 緊急止血,但已有鄉民憤怒的表示:
為什麼不早點解決?是不是還有其他漏洞,而你正坐視不理?
