Verdens mest populære Crypto-lommebok Metamask annonserte at de har lappet et sikkerhetshull som potensielt kunne ha vært en KATASTROF.
Heldigvis ble det først oppdaget av 'gode hackere' som umiddelbart informerte Metamask om feilen og fortalte dem hvordan de skulle fikse den. Ved å gå under navnet 'The United Global Whitehat Security Team' (UGWST), kunne organisasjonen kreve en belønning på $120,000 XNUMX for å finne sårbarheten.
Metamask forteller oss at det ikke var noen brukere som ble berørt av dette sikkerhetsproblemet. UGWST ser ut til å være den første og eneste som oppdaget det, og de delte bare funnene sine med Metamask.
Strategien består i å kamuflere ondsinnet kode på et nettsted slik at brukeren klikker på det uten å være klar over det. Hvis du for eksempel faller i clickjacking, kan du ved å klikke "Spill av" på en video gi tilgang til pengene dine i en lommebok.
Metamask-utviklere fikset det umiddelbart ...
Bare brukere av nettleserutvidelsen var noen gang i faresonen, men dette er den mest populære metoden for å få tilgang til Metamask-lommebøker. Hackerne demonstrerte å lansere Metamask en iframe (det vil si en nettside på en annen nettside) og sette den til 0% opasitet, med andre ord i et helt gjennomsiktig vindu - brukeren ville ikke ha noen anelse om at det eksisterte. Da er det et spørsmål om å lure brukeren til å klikke på bestemte steder på skjermen sin, uvitende om at de faktisk trykker på en usynlig knapp som bekrefter en transaksjon.
Det kan se ut som en popup-annonse, men "X" for å lukke den er faktisk knappen for å bekrefte sending av alle Ethereum til noen, for eksempel.
Sørg for at du er oppdatert...
Som standard oppdateres Metamask automatisk, men dobbeltsjekk din for å være sikker. Åpne Metamask, gå til "innstillinger", deretter "om", og sørg for at du har versjon 10.14.6 eller nyere.
Hvis noen av disse tallene er lavere, må du oppdatere.
Hacking for godt kan være en lønnsom satsning...
Metamask tildeler feilsøkerne $120,000 XNUMX er en veldig vanlig praksis, praktisk talt alle store aktører innen teknologi tilbyr en "bug bounty" som gir hackere en alternativ, helt lovlig måte å gjøre oppdagelsene sine til profitt.
UGWST, organisasjonen som oppdaget dette har også hjulpet Apple, Reddit, Microsoft og utført sikkerhetsrevisjoner for Crypto.com og OpenSea.
---------------
Forfatter: Oliver Redding
Seattle Newsdesk / / Dimefi anmeldelse
Ingen kommentarer
Legg inn en kommentar