Según una investigación reciente, los usuarios del monedero cripto MetaMask podrían correr el riesgo de perder todos sus activos digitales o incluso amenazas físicas. El analista de seguridad y cripto Alexandru Lupascu, cofundador del protocolo OMNIA, encontró esta vulnerabilidad en la popular billetera Web 3.0.
¿Cuánto daño se puede hacer?
Lupascu descubrió que una parte malintencionada puede simplemente crear un token no fungible (NFT) y obtener la dirección IP de un usuario mediante la transferencia gratuita de la propiedad del arte digital. Un pirata necesitaría gastar solo 50 dólares para atacar la privacidad de alguien. Mencionó: “No subestimes el riesgo asociado con las filtraciones de IP”.
Lupascu agregó que “si los actores maliciosos obtienen más información de la dirección IP (piense en la geolocalización, el operador GSM, etc.), pueden convertirla en riesgos físicos, como un secuestro”.
Además, este ataque puede ser más “devastador que un ataque de denegación de servicio distribuido (DDoS)”, según el criptógrafo. Para una comparación simple, este ataque puede ser ocho veces más poderoso que el ataque de la red de bots Mirai en octubre de 2016 que eliminó Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb y muchos sitios web más populares.
Alexandru publicó un reporte completo de cómo se realiza el ataque, desde acuñar un NFT hasta transferirlo a la víctima, obtener la dirección IP y, por último, comprometer la privacidad o incluso robar sus criptos. Probó este ataque en la versión 3.7.0 de la aplicación iOS MetaMask, pero también podría ser lo mismo para la versión de Android. Acuñó un NFT en OpenSea, el mercado de NFT más grande, y editó el contrato smart contract ERC-1155 con Remix Ethereum IDE.
¿Lo arreglaron?
Según Lupascu, encontró y abordó la falla de seguridad al equipo de MetaMask el 14 de diciembre de 2021, pero lo ignoraron y respondieron para solucionar este problema en el segundo trimestre de 2022. Dijo: “Para nosotros, es inaceptable dejar a un usuario tan grande”. base en riesgo durante tanto tiempo, especialmente si esto se sabía de antemano, como dicen”.
Después de que esta investigación se mostró al público, Daniel Finlay, quien es el fundador de MetaMask, admitió: “Creo que este problema se conoce ampliamente desde hace mucho tiempo, por lo que no creo que se aplique un período de divulgación”.
Finlay agregó: “Alex tiene razón al llamarnos por no abordarlo antes. Comenzando a trabajar en eso ahora. Gracias por la patada en los pantalones, y siento que lo necesitáramos”.
No hay que olvidar que ConsenSys, la empresa matriz de MetaMask, recaudó 200 millones de dólares y MetaMask superó los 21 millones de usuarios activos mensuales en noviembre de 2021. El monedero cripto más popular también se utiliza como puerta de entrada a 3,700 aplicaciones descentralizadas (dApps) Web 3.0.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.