Аналитик безопасности и соучредитель протокола OMNIA Александру Лупаску нашел в популярном кошельке Metamask уязвимость, которая может поставить под угрозу данные любого пользователя расширения.
Лупаску обнаружил, что злоумышленник может просто создать NFT-токен, бесплатно отправить его пользователю и благодаря этому получить его IP-адрес. Далее по IP-адресу хакер может узнать дополнительную информацию, например, данные геолокации, оператора GSM и т. д.
Однако ничто не мешает создать миллионы NFT, направить их все на один URL-адрес, а затем с него раздать миллионам пользователей. В этом случае на этот URL-адрес получится настоящая DDoS-атака, которая намного превзойдет размер ботнета Mirai, нарушившего работу несколько известных сайтов, включая GitHub, Twitter, Reddit, Netflix, Airbnb и других. У Mirai было 800 тыс — 2,5 млн зараженных устройств, а пользователей METAMASK 21 млн.
Лупаску подтвердил работу уязвимости в приложении Metmask Mobile 3.7.0 для iOS, но пришел к выводу, что она есть и в приложении для Android. Кроме того, она есть и в последней версии приложения 3.8.0.
Исследователь сообщил об уязвимости в Metamask, но разработчики ответили, что знают о ней и рассчитывают исправить ко второму кварталу этого года. Пока же они не рекомендовали разглашать информацию об уязвимости, но Лупаску с этим не согласен.
«Неприемлемо так долго оставлять такую ????большую базу пользователей в опасности, особенно если об уязвимости было известно давно, как они говорят. Мы решили поделиться этой информацией, чтобы оказать дополнительное общественное давление на MetaMask и заставить их реагировать быстрее», — говорится в описании.