Le cryptographe et analyste en sécurité Alexandru Lupascu, co-fondateur du protocole OMNIA, a trouvé Metamask vulnérable. Au cours de ses récentes recherches, il est tombé sur et a souligné que les utilisateurs de portefeuilles cryptographiques Metamask pourraient être en danger et pourraient perdre tous leurs actifs numériques.
Dans son récent moyen article, il a mentionné qu’il avait passé du temps avec cette équipe à rechercher différentes situations de largage NFT. Ils sont tombés sur un scénario qui pourrait compromettre la vie privée de plus de 21 millions de personnes.
« C’est aussi un scénario assez puissant, car il a le potentiel d’être huit fois plus dévastateur qu’une attaque par déni de service distribué (DDoS). Et je dis cela après l’avoir comparé à certaines des attaques les plus notoires à avoir fait la une des journaux l’année dernière.
Alexandre Lupascu
À quel point est-ce dangereux ?
Alexandru montre comment un acteur malveillant peut créer un NFT, le transmettre à une victime et acquérir son adresse IP, mettant ainsi sa vie privée en danger. Il s’agit d’une faille de confidentialité importante dans l’écosystème de la blockchain que n’importe qui peut attaquer pour aussi peu que 50 $.
Ne sous-estimez pas la menace posée par les fuites IP. Alexandru ajoute : si des acteurs hostiles obtiennent d’autres informations à partir de l’adresse IP (comme la géolocalisation ou l’opérateur GSM), ils peuvent la transformer en une menace physique, comme un enlèvement.
Alexandru a détaillé comment l’invasion est menée, de la création d’un NFT à son envoi à la cible, à l’obtention de l’adresse IP de la victime et, enfin, à la mise en péril de sa vie privée ou au vol de ses actifs cryptographiques. Il a utilisé le logiciel iOS Metamask version 3.7.0 pour tester cette attaque, mais cela pourrait également s’appliquer à Android.
Les utilisateurs sont-ils désormais en sécurité ?
Alexandru a identifié la faille début décembre 2021, et après avoir examiné la politique de sécurité mobile de Metamask, ils l’ont contacté le 14 décembre 2021.
Ils nous ont informés qu’il s’agit d’un problème connu qui est traité dans le cadre d’un calendrier de divulgation responsable.
Après la publication de l’étude, Daniel Finlay, le fondateur de MetaMask, a vérifié la problème et s’est engagé à le résoudre dans les plus brefs délais. Il a également ajouté: «Alex a raison de nous appeler pour ne pas l’avoir abordé plus tôt. Commencer à travailler dessus maintenant. Merci pour le coup de pied dans le pantalon, et désolé d’en avoir besoin.
