Metamask של ארנק הקריפטו הפופולרי ביותר בעולם הודיע שהם תיקנו חור אבטחה שעלול היה להיות אסון.
למרבה המזל, זה התגלה לראשונה על ידי 'האקרים טובים' שהודיעו מיד ל-Metamask על הפגם ואמרו להם איך לתקן אותו. בשם 'The United Global Whitehat Security Team' (UGWST), הארגון הצליח לתבוע פרס של $120,000 עבור מציאת הפגיעות.
Metamask אומר לנו שלא היו משתמשים שהושפעו מפגיעות זו. נראה ש-UGWST הוא הראשון והיחיד שגילה אותו, והם שיתפו רק את הממצאים שלהם עם Metamask.
האסטרטגיה מורכבת מהסוואה של קוד זדוני באתר כך שהמשתמש ילחץ עליו מבלי להבין זאת. לדוגמה, אם אתה נופל ב-clickjacking , על ידי לחיצה על "הפעל" בסרטון אתה יכול להעניק גישה לכספים שלך בארנק.
מפתחי Metamask תיקנו את זה מיד...
רק משתמשי תוסף הדפדפן היו אי פעם בסיכון, אבל זו השיטה הפופולרית ביותר לגישה לארנקי Metamask. ההאקרים הדגימו השקת Metamask של iframe (כלומר, אתר בתוך אתר אחר) והגדרתו ל-0% אטימות, במילים אחרות בחלון שקוף לחלוטין - למשתמש לא היה מושג שהוא קיים. אז זה עניין של להערים על המשתמש ללחוץ על מיקומים ספציפיים על המסך שלו, בלי לדעת שהוא בעצם לוחץ על כפתור בלתי נראה שמאשר עסקה.
זה יכול להיראות כמו מודעה קופצת, אבל ה-'X' לסגירתו הוא למעשה הכפתור לאישור שליחת כל ה-Ethereum שלך למישהו, למשל.
ודא שאתה מעודכן...
כברירת מחדל Metamask מתעדכן אוטומטית, אבל בדוק שוב את שלך ליתר ביטחון. פתח את Metamask, עבור אל 'הגדרות', ואז 'אודות', וודא שיש לך גרסה 10.14.6 ומעלה.
אם אחד מהמספרים הללו נמוך יותר, עליך לעדכן.
פריצה לתמיד יכולה להיות מיזם רווחי...
Metamask הענקת למחפשי באגים $120,000 היא מנהג נפוץ מאוד, למעשה כל השחקנים הגדולים בטכנולוגיה מציעים 'פרס באג' המעניק להאקרים דרך חלופית, חוקית לחלוטין, להפוך את התגליות שלהם לרווחים.
UGWST, הארגון שגילה זאת סייע גם לאפל, Reddit, מיקרוסופט וביצע ביקורות אבטחה עבור Crypto.com ו-OpenSea.
---------------
מְחַבֵּר: אוליבר רדינג
דסק החדשות של סיאטל / / סקירת Dimefi
אין תגובות
הוסף רשומת תגובה