Maailman suosituin Crypto-lompakko Metamask ilmoitti korjanneensa tietoturva-aukon, joka olisi voinut olla KATASTERIA.
Onneksi sen löysivät ensin "hyvät hakkerit", jotka ilmoittivat välittömästi Metamaskille virheestä ja kertoivat heille, kuinka se korjataan. The United Global Whitehat Security Team (UGWST) -niminen organisaatio pystyi vaatimaan 120,000 XNUMX dollarin palkkion haavoittuvuuden löytämisestä.
Metamask kertoo meille, että tämä haavoittuvuus ei vaikuttanut käyttäjiin. UGWST näyttää olevan ensimmäinen ja ainoa, joka löysi sen, ja he jakoivat havainnot vain Metamaskin kanssa.
Strategia koostuu haitallisen koodin naamioimisesta sivustolla niin, että käyttäjä napsauttaa sitä huomaamattaan. Jos esimerkiksi joudut napsautusten kaappaamiseen , klikkaamalla "Toista" videossa saatat antaa pääsyn lompakossasi oleviin varoihin.
Metamaskin kehittäjät korjasivat sen välittömästi...
Vain selainlaajennuksen käyttäjät olivat koskaan vaarassa, mutta tämä on suosituin tapa päästä käsiksi Metamask-lompakoihin. Hakkerit osoittivat käynnistävänsä Metamaskin iframe-kehyksen (eli verkkosivuston toisella verkkosivustolla) ja asettaneen sen läpinäkyvyyteen 0 %, toisin sanoen täysin läpinäkyvässä ikkunassa - käyttäjällä ei olisi aavistustakaan sen olemassaolosta. Sitten on tarkoitus huijata käyttäjä napsauttamaan tiettyjä paikkoja näytöllään tietämättään painavansa näkymätöntä painiketta, joka vahvistaa tapahtuman.
Se voi näyttää ponnahdusmainokselta, mutta sen sulkeva "X" on itse asiassa painike, joka vahvistaa esimerkiksi kaiken Ethereumisi lähettämisen jollekin.
Varmista, että olet ajan tasalla...
Oletuksena Metamask päivittyy automaattisesti, mutta tarkista omasi turvallisuuden vuoksi. Avaa Metamask, siirry kohtaan "asetukset" ja sitten "Tietoja" ja varmista, että sinulla on versio 10.14.6 tai uudempi.
Jos jokin näistä luvuista on pienempi, sinun on päivitettävä.
Hakkerointi lopullisesti voi olla kannattava yritys...
Metamask palkitsee virheiden löytäjille 120,000 XNUMX dollaria on hyvin yleinen käytäntö, käytännössä kaikki suuret tekniikan toimijat tarjoavat "vikapalkkion", joka antaa hakkereille vaihtoehtoisen, täysin laillisen tavan muuttaa löytönsä voitoksi.
Tämän havainnut organisaatio UGWST on myös auttanut Applea, Redditiä, Microsoftia ja suorittanut tietoturvatarkastuksia Crypto.comille ja OpenSealle.
---------------
Kirjoittaja: Oliver Redding
Seattlen uutiskirje / / Dimefi arvostelu
Ei kommentteja
Lähetä kommentti