عيب أمني رئيسي في Metamask ... اكتشفه "قراصنة جيدون" ، تم إصلاحه قبل أن يستخدمه الأشرار!
أعلنت محفظة Metamask المشفرة الأكثر شهرة في العالم أنها قامت بتصحيح ثغرة أمنية من المحتمل أن تكون كارثة.
لحسن الحظ ، تم اكتشافه لأول مرة من قبل "المتسللين الجيدين" الذين أبلغوا Metamask على الفور بالخطأ ، وأخبروهم بكيفية إصلاحه. وباستخدام اسم "فريق الأمن العالمي المتحد" (UGWST) ، تمكنت المنظمة من المطالبة بمكافأة قدرها 120,000 ألف دولار مقابل اكتشاف الثغرة الأمنية.
يخبرنا Metamask أنه لم يكن هناك مستخدمون متأثرون بهذه الثغرة الأمنية. يبدو أن UGWST هو الأول والوحيد الذي اكتشفه ، ولم يشاركوا النتائج التي توصلوا إليها إلا مع Metamask.
تتكون الإستراتيجية من تمويه التعليمات البرمجية الخبيثة على موقع ما بحيث ينقر المستخدم عليها دون أن يدرك ذلك. على سبيل المثال ، إذا وقعت في السرقة ، بالنقر فوق "تشغيل" على مقطع فيديو ، يمكنك منح حق الوصول إلى أموالك في المحفظة.
قام مطورو Metamask بإصلاحه على الفور ...
تعرض مستخدمو امتداد المتصفح فقط للخطر ، ولكن هذه هي الطريقة الأكثر شيوعًا للوصول إلى محافظ Metamask. أظهر المتسللون إطلاق Metamask على iframe (أي موقع ويب داخل موقع ويب آخر) وضبطه على عتامة 0٪ ، بمعنى آخر في نافذة شفافة تمامًا - لن يكون لدى المستخدم أي فكرة عن وجوده. ثم الأمر يتعلق بخداع المستخدم للنقر على مواقع محددة على شاشته ، غير مدرك أنه في الواقع يضغط على زر غير مرئي لتأكيد المعاملة.
قد يبدو كإعلان منبثق ، ولكن علامة "X" لإغلاقه هي في الواقع الزر لتأكيد إرسال كل Ethereum الخاص بك إلى شخص ما ، على سبيل المثال.
تأكد من أنك حتى الآن ...
بشكل افتراضي ، يتم تحديث Metamask تلقائيًا ، ولكن تحقق مرة أخرى ليكون آمنًا. افتح Metamask ، وانتقل إلى "الإعدادات" ، ثم "حول" ، وتأكد من أن لديك الإصدار 10.14.6 أو إصدار أحدث.
إذا كان أي من هذه الأرقام أقل ، فأنت بحاجة إلى التحديث.
يمكن أن يكون القرصنة من أجل الخير مشروعًا مربحًا ...
إن منح Metamask لمنح اكتشاف الأخطاء مبلغ 120,000 دولار أمر شائع جدًا ، حيث يقدم جميع اللاعبين الرئيسيين تقريبًا في مجال التكنولوجيا "مكافأة خطأ" تمنح المتسللين طريقة بديلة وقانونية تمامًا لتحويل اكتشافاتهم إلى أرباح.
ساعدت UGWST ، المنظمة التي اكتشفت ذلك أيضًا Apple و Reddit و Microsoft ، وأجرت عمليات تدقيق أمان لـ Crypto.com و OpenSea.
---------------
كاتب: أوليفر ريدينج
سياتل نيوزديسك / / استعراض ديميفي