Verdens mest populære Crypto wallet Metamask annoncerede, at de har rettet et sikkerhedshul, der potentielt kunne have været en KATASTROF.
Heldigvis blev det først opdaget af 'gode hackere', som straks informerede Metamask om fejlen og fortalte dem, hvordan de skulle rette den. Ved at gå under navnet 'The United Global Whitehat Security Team' (UGWST), var organisationen i stand til at kræve en belønning på $120,000 for at finde sårbarheden.
Metamask fortæller os, at der ikke var nogen brugere, der var berørt af denne sårbarhed. UGWST ser ud til at være den første og eneste til at opdage det, og de delte kun deres resultater med Metamask.
Strategien består i at camouflere ondsindet kode på et websted, så brugeren klikker på det uden at være klar over det. For eksempel, hvis du falder i clickjacking, kan du ved at klikke på "Afspil" på en video give adgang til dine penge i en pung.
Metamask-udviklere rettede det straks...
Kun brugere af browserudvidelsen var nogensinde i fare, men dette er den mest populære metode til at få adgang til Metamask-punge. Hackerne demonstrerede at lancere Metamask en iframe (det vil sige en hjemmeside på en anden hjemmeside) og sætte den til 0% opacitet, med andre ord i et helt gennemsigtigt vindue - brugeren ville ikke have nogen anelse om at den eksisterede. Så er det et spørgsmål om at narre brugeren til at klikke på bestemte steder på deres skærm, uvidende om de faktisk trykker på en usynlig knap, der bekræfter en transaktion.
Det kunne ligne en pop-up annonce, men 'X'et for at lukke det er faktisk knappen til at bekræfte at sende alle dine Ethereum til nogen, for eksempel.
Sørg for, at du er opdateret...
Som standard opdateres Metamask automatisk, men dobbelttjek din for at være sikker. Åbn Metamask, gå til 'indstillinger', derefter 'om', og sørg for, at du har version 10.14.6 eller nyere.
Hvis nogle af disse tal er lavere, skal du opdatere.
Hacking for altid kan være et rentabelt foretagende...
Metamask tildeler fejlfinderne $120,000 er en meget almindelig praksis, stort set alle store aktører inden for teknologi tilbyder en 'bug bounty', der giver hackere en alternativ, fuldstændig lovlig måde at omsætte deres opdagelser til profit.
UGWST, organisationen, der opdagede dette, har også hjulpet Apple, Reddit, Microsoft og udført sikkerhedsrevisioner for Crypto.com og OpenSea.
---------------
Forfatter: Oliver Redding
Seattle Newsdesk / / Dimefi anmeldelse
Ingen kommentarer
Send en kommentar