[新闻] Metamask 钱包遭爆存在 IP 漏洞！恐衍生 joug PTT批踢踢实业坊

[新闻] Metamask 钱包遭爆存在 IP 漏洞！恐衍生

楼主: joug (好东西不签吗) 2022-01-24 16:26:07

Metamask 钱包遭爆存在 IP 漏洞！恐衍生实体绑架、超级 DDoS 攻击
数据保护节点服务 OMNIA Protocol 的共同创办人 Alexandru Lupascu 1 月 20 日在个人
Medium 上发文指出，Metamask 钱包存在一暴露用户 IP 的漏洞，允许恶意攻击者将使用
者的身分与钱包连结，造成重大隐私风险，对此 Metamask 联合创办人 Daniel Finlay
承认此事为真、承诺尽快修补。
过程简单、可能衍生出超级 DDoS 攻击
Alexandru Lupascu 表示，该漏洞的允许恶意攻击者创建一枚 NFT，并在用户使用
Metamask 买进该枚 NFT 时取得用户的 IP 位址，由于 IP 位址具备唯一不可取代性，相
当于取得了识别用户身分的能力。
取得用户 IP 的过程相当容易，Alexandru Lupascu 表示由于将完整图片储存在区块链上
的成本过于昂贵，现有的做法多为将图片存在远端服务器，区块链上仅储存该图像的 URL
。只要攻击者创建恶意的远端服务器，当 Metamask 存取该张 NFT 时，用户的 IP 地址
就会外泄。
Alexandru Lupascu 进一步解释：
如果恶意攻击者从 IP 中推敲出更多资讯（例如地理位置、GSM 营运商等），可以进一步
带来实体风险，例如绑架行为。
– 一般 NFT 铸造、交易过程 | 图源：Medium –
该漏洞甚至能进一步衍生出其他攻击方式，Alexandru Lupascu 表示，恶意攻击者可以制
作大量 NFT，并将之统一指向单一 URL（某个歹徒想攻击的网站），接着再以空投为由吸
引无知用户们上钩，如此以来便可对同一 URL 施以 DDoS 攻击，规模可达到 Mirari 僵
尸网络规模的 8 倍（该攻击一度击垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等
）。
– 攻击可能过程演示 | 图源：Medium –
官方去年就收到通知，却迟未修补，创办人出面道歉
Alexandru Lupascu 表示，自己和另外两位同仁 Iman Hossini、Cristian Lupascu 去
年 12 月 14 日便主动联系 Metamask，并提供了初步的漏洞缓解想法，但对方仅表示会
在 2022 Q2 前完成补丁。Alexandru Lupascu 等人认为让庞大的 NFT 用户陷于危机当中
是无法接受的，于是决定诉诸公众、公布漏洞施压 Metamask 处理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞，Android 同样遭到波及，且最新的
3.8.0 版本同样也有此问题。
消息传开后，社群开始炎上此事，Alexandru Lupascu 更表示 Metamask 方在联系前就知
道这个漏洞，却迟迟不处理。至此终于逼出 Metamask 的共同创办人 Daniel Finlay，其
在推特上承认此事：
是的，这个问题早已广为人知，所以我认为不适用漏洞披露。
不过，Alex 指责我们没有尽快解决这个问题是正确的。
我们现在立刻动工，感谢你的指教，我们很需要他。
尽管 Daniel Finlay 紧急止血，但已有乡民愤怒的表示：
为什么不早点解决？是不是还有其他漏洞，而你正坐视不理？
https://reurl.cc/120qvV
狐狸钱包有IP漏洞很多人钱放狐狸钱包专家怎么看

作者: frrr (franky1) 2022-01-24 16:39:00

这不算漏洞吧而且补也没用啊，想查询某人的IP,就空投一个NFT 然后收到的人自行去google时，也会被钓到点那个NFT的官网，ip不就暴露了这就只是一种钓别人IP的手法

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 16:41:00

要知道对方的IP的确相当容易，用不着啥漏洞

作者: lnonai (lnonai) 2022-01-24 16:44:00

主要就是ip位址可以对应钱包的话，操作高资产钱包的装置就会被锁定攻击

作者: adamcha (生于安乐死于忧患) 2022-01-24 16:50:00

也是吼可见冷钱包的重要性

作者: dmaox3 (毛c) 2022-01-24 17:21:00

Ip 漏洞的话资产本身是安全的吧

作者: Richun (解放左手的OO之力) 2022-01-24 17:24:00

资产本身不会被这样盗走，但持有者的位置会被锁定。

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 17:31:00

是啊，PTT本身就会记录IP，所以版上的都被锁定了要安全的话还是老方法大笔资金放冷钱包

作者: jackysupper 2022-01-24 17:34:00

怕啥，要担心的也是有100颗BTC的人要担心

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 17:39:00

基本上大部分的人都是浮动IP，很难做持续性的攻击Server才会用固定IP，不过会搞Server的也都有资安意识不过说实在的这个"漏洞"有什么补救方法?是要metamask做proxy把所有NFT URI的流量全都重导??还是要做要做一个过滤垃圾NFT机制??无论是哪种方案都会和区块链本来的trustless相违背讲白话点，这个攻击不就是跟附图的垃圾邮件一样收件者开图了，就知道这个信箱的收件者IP了https://tinyurl.com/4zexzfn7看了最后的建议解决方案就是让使用者多个确认domain的动作

作者: ripple0129 (perry tsai) 2022-01-24 18:17:00

现在NFT就是个假去中心化的东西

作者: lnonai (lnonai) 2022-01-24 18:27:00

所以AR跟FIL的价值就突显出来了

作者: greg7575 (顾家) 2022-01-24 18:46:00

一般上网不止ip会被记。连萤幕长宽都会

作者: dmaox3 (毛c) 2022-01-24 19:43:00

NFT 本身就是中心化的东西啊你买的是指向某个数据库位置的杂凑值

作者: saveme (hihi) 2022-01-24 20:06:00

所以我才说去中心化的架构为基础下去开发新网络,绝大多数几乎可以挡住 DDOS 攻击, 币现行的挡 DDOS 方式有效多了. 每个节点都是浮动 IP, 不断地换 IP, DDOS 要攻击的效果几乎等于零.

作者: kckckckc (KC) 2022-01-24 21:23:00

ip位址唯一不可取代性？？？！

作者: bluefancy (脩) 2022-01-24 21:35:00

一楼长知识

作者: aspd193 (Q胖达2号) 2022-01-25 07:22:00

里面满多ETH的忽然怕怕der干

作者: simpson083 (雷姆，是一种信仰) 2022-01-25 10:00:00

还好我都用行动网络来开安全下庄

作者: fifi82726 2022-01-27 08:22:00

所以开小狐狸买NFT还要搭配VPN

继续阅读

[闲聊] 冷钱包的选择adamcha Re: [闲聊] Crypto.com Visa卡使用心得c6224629 [Coin] OpenSea的手续费myWaWa Re: [交易] MAX 提领kiDJonath [闲聊] 为什么matrixport的USDC 活期存可以到10.id520 [交易] 电汇到FTX 中转行问题iwninjawi [新闻] Coinbase 澄清：上币流程独立vgbvgb Re: [闲聊] Crypto.com Visa卡使用心得kkjack [闲聊] 奇亚仔呢??Rasin [Coin] Defi 2022年的未来展望EMPshockwave