[新聞] Metamask 錢包遭爆存在 IP 漏洞！恐衍生

作者joug (好東西不簽嗎)

看板DigiCurrency

標題[新聞] Metamask 錢包遭爆存在 IP 漏洞！恐衍生

時間Mon Jan 24 16:26:07 2022

Metamask 錢包遭爆存在 IP 漏洞！恐衍生實體綁架、超級 DDoS 攻擊數據保護節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 1 月 20 日在個人 Medium 上發文指出，Metamask 錢包存在一暴露用戶 IP 的漏洞，允許惡意攻擊者將使用者的身分與錢包連結，造成重大隱私風險，對此 Metamask 聯合創辦人 Daniel Finlay 承認此事為真、承諾盡快修補。過程簡單、可能衍生出超級 DDoS 攻擊 Alexandru Lupascu 表示，該漏洞的允許惡意攻擊者創建一枚 NFT，並在用戶使用 Metamask 買進該枚 NFT 時取得用戶的 IP 位址，由於 IP 位址具備唯一不可取代性，相當於取得了識別用戶身分的能力。取得用戶 IP 的過程相當容易，Alexandru Lupascu 表示由於將完整圖片儲存在區塊鏈上的成本過於昂貴，現有的做法多為將圖片存在遠端伺服器，區塊鏈上僅儲存該圖像的 URL 。只要攻擊者創建惡意的遠端伺服器，當 Metamask 存取該張 NFT 時，用戶的 IP 地址就會外洩。 Alexandru Lupascu 進一步解釋：如果惡意攻擊者從 IP 中推敲出更多資訊（例如地理位置、GSM 營運商等），可以進一步帶來實體風險，例如綁架行為。 – 一般 NFT 鑄造、交易過程 | 圖源：Medium – 該漏洞甚至能進一步衍生出其他攻擊方式，Alexandru Lupascu 表示，惡意攻擊者可以製作大量 NFT，並將之統一指向單一 URL（某個歹徒想攻擊的網站），接著再以空投為由吸引無知用戶們上鉤，如此以來便可對同一 URL 施以 DDoS 攻擊，規模可達到 Mirari 殭屍網路規模的 8 倍（該攻擊一度擊垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等）。 – 攻擊可能過程演示 | 圖源：Medium – 官方去年就收到通知，卻遲未修補，創辦人出面道歉 Alexandru Lupascu 表示，自己和另外兩位同仁 Iman Hossini、Cristian Lupascu 去年 12 月 14 日便主動聯繫 Metamask，並提供了初步的漏洞緩解想法，但對方僅表示會在 2022 Q2 前完成補丁。Alexandru Lupascu 等人認為讓龐大的 NFT 用戶陷於危機當中是無法接受的，於是決定訴諸公眾、公布漏洞施壓 Metamask 處理。目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞，Android 同樣遭到波及，且最新的 3.8.0 版本同樣也有此問題。消息傳開後，社群開始炎上此事，Alexandru Lupascu 更表示 Metamask 方在聯繫前就知道這個漏洞，卻遲遲不處理。至此終於逼出 Metamask 的共同創辦人 Daniel Finlay，其在推特上承認此事：是的，這個問題早已廣為人知，所以我認為不適用漏洞披露。不過，Alex 指責我們沒有盡快解決這個問題是正確的。我們現在立刻動工，感謝你的指教，我們很需要他。儘管 Daniel Finlay 緊急止血，但已有鄉民憤怒的表示：為什麼不早點解決？是不是還有其他漏洞，而你正坐視不理？ https://reurl.cc/120qvV 狐狸錢包有IP漏洞很多人錢放狐狸錢包專家怎麼看 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.147.83 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1643012770.A.DDF.html

推 frrr: 這不算漏洞吧而且補也沒用啊，想查詢某人的IP,就空投一個NF 01/24 16:39

→ frrr: T 然後收到的人自行去google時，也會被釣到點那個NFT的官網 01/24 16:39

→ frrr: ，ip不就暴露了 01/24 16:39

→ frrr: 這就只是一種釣別人IP的手法 01/24 16:40

推 DarkerDuck: 要知道對方的IP的確相當容易，用不著啥漏洞 01/24 16:41

推 lnonai: 主要就是ip位址可以對應錢包的話，操作高資產錢包的裝置 01/24 16:44

→ lnonai: 就會被鎖定攻擊 01/24 16:44

推 adamcha: 也是吼可見冷錢包的重要性 01/24 16:50

推 dmaox3: Ip 漏洞的話資產本身是安全的吧 01/24 17:21

推 Richun: 資產本身不會被這樣盜走，但持有者的位置會被鎖定。 01/24 17:24

→ DarkerDuck: 是啊，PTT本身就會記錄IP，所以版上的都被鎖定了 01/24 17:31

→ DarkerDuck: 要安全的話還是老方法大筆資金放冷錢包 01/24 17:32

推 jackysupper: 怕啥，要擔心的也是有100顆BTC的人要擔心 01/24 17:34

→ DarkerDuck: 基本上大部分的人都是浮動IP，很難做持續性的攻擊 01/24 17:39

→ DarkerDuck: Server才會用固定IP，不過會搞Server的也都有資安意識 01/24 17:40

→ DarkerDuck: 不過說實在的這個"漏洞"有什麼補救方法? 01/24 17:44

→ DarkerDuck: 是要metamask做proxy把所有NFT URI的流量全都重導?? 01/24 17:45

→ DarkerDuck: 還是要做要做一個過濾垃圾NFT機制?? 01/24 17:46

→ DarkerDuck: 無論是哪種方案都會和區塊鏈本來的trustless相違背 01/24 17:47

→ DarkerDuck: 講白話點，這個攻擊不就是跟附圖的垃圾郵件一樣 01/24 17:47

→ DarkerDuck: 收件者開圖了，就知道這個信箱的收件者IP了 01/24 17:48

→ DarkerDuck: https://tinyurl.com/4zexzfn7 01/24 17:57

→ DarkerDuck: 看了最後的建議解決方案就是讓使用者多個確認domain 01/24 17:58

→ DarkerDuck: 的動作 01/24 17:58

推 ripple0129: 現在NFT就是個假去中心化的東西 01/24 18:17

推 lnonai: 所以AR跟FIL的價值就突顯出來了 01/24 18:27

推 greg7575: 一般上網不止ip會被記。連螢幕長寬都會 01/24 18:46

推 dmaox3: NFT 本身就是中心化的東西啊你買的是指向某個資料庫位置 01/24 19:43

→ dmaox3: 的雜湊值 01/24 19:43

→ saveme: 所以我才說去中心化的架構為基礎下去開發新網路, 01/24 20:06

→ saveme: 絕大多數幾乎可以擋住 DDOS 攻擊, 幣現行的擋 DDOS 方式 01/24 20:07

→ saveme: 有效多了. 每個節點都是浮動 IP, 不斷地換 IP, DDOS 要攻 01/24 20:08

→ saveme: 擊的效果幾乎等於零. 01/24 20:08

→ kckckckc: ip位址唯一不可取代性？？？！ 01/24 21:23

推 bluefancy: 一樓長知識 01/24 21:35

推 aspd193: 裡面滿多ETH的忽然怕怕der乾 01/25 07:22

推 simpson083: 還好我都用行動網路來開安全下庄 01/25 10:00

推 fifi82726: 所以開小狐狸買NFT還要搭配VPN 01/27 08:22