[新聞] Metamask 錢包遭爆存在 IP 漏洞！恐衍生 joug PTT批踢踢實業坊

[新聞] Metamask 錢包遭爆存在 IP 漏洞！恐衍生

作者: joug (好東西不簽嗎) 2022-01-24 16:26:07

Metamask 錢包遭爆存在 IP 漏洞！恐衍生實體綁架、超級 DDoS 攻擊
數據保護節點服務 OMNIA Protocol 的共同創辦人 Alexandru Lupascu 1 月 20 日在個人
Medium 上發文指出，Metamask 錢包存在一暴露用戶 IP 的漏洞，允許惡意攻擊者將使用
者的身分與錢包連結，造成重大隱私風險，對此 Metamask 聯合創辦人 Daniel Finlay
承認此事為真、承諾盡快修補。
過程簡單、可能衍生出超級 DDoS 攻擊
Alexandru Lupascu 表示，該漏洞的允許惡意攻擊者創建一枚 NFT，並在用戶使用
Metamask 買進該枚 NFT 時取得用戶的 IP 位址，由於 IP 位址具備唯一不可取代性，相
當於取得了識別用戶身分的能力。
取得用戶 IP 的過程相當容易，Alexandru Lupascu 表示由於將完整圖片儲存在區塊鏈上
的成本過於昂貴，現有的做法多為將圖片存在遠端伺服器，區塊鏈上僅儲存該圖像的 URL
。只要攻擊者創建惡意的遠端伺服器，當 Metamask 存取該張 NFT 時，用戶的 IP 地址
就會外洩。
Alexandru Lupascu 進一步解釋：
如果惡意攻擊者從 IP 中推敲出更多資訊（例如地理位置、GSM 營運商等），可以進一步
帶來實體風險，例如綁架行為。
– 一般 NFT 鑄造、交易過程 | 圖源：Medium –
該漏洞甚至能進一步衍生出其他攻擊方式，Alexandru Lupascu 表示，惡意攻擊者可以製
作大量 NFT，並將之統一指向單一 URL（某個歹徒想攻擊的網站），接著再以空投為由吸
引無知用戶們上鉤，如此以來便可對同一 URL 施以 DDoS 攻擊，規模可達到 Mirari 殭
屍網路規模的 8 倍（該攻擊一度擊垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等
）。
– 攻擊可能過程演示 | 圖源：Medium –
官方去年就收到通知，卻遲未修補，創辦人出面道歉
Alexandru Lupascu 表示，自己和另外兩位同仁 Iman Hossini、Cristian Lupascu 去
年 12 月 14 日便主動聯繫 Metamask，並提供了初步的漏洞緩解想法，但對方僅表示會
在 2022 Q2 前完成補丁。Alexandru Lupascu 等人認為讓龐大的 NFT 用戶陷於危機當中
是無法接受的，於是決定訴諸公眾、公布漏洞施壓 Metamask 處理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞，Android 同樣遭到波及，且最新的
3.8.0 版本同樣也有此問題。
消息傳開後，社群開始炎上此事，Alexandru Lupascu 更表示 Metamask 方在聯繫前就知
道這個漏洞，卻遲遲不處理。至此終於逼出 Metamask 的共同創辦人 Daniel Finlay，其
在推特上承認此事：
是的，這個問題早已廣為人知，所以我認為不適用漏洞披露。
不過，Alex 指責我們沒有盡快解決這個問題是正確的。
我們現在立刻動工，感謝你的指教，我們很需要他。
儘管 Daniel Finlay 緊急止血，但已有鄉民憤怒的表示：
為什麼不早點解決？是不是還有其他漏洞，而你正坐視不理？
https://reurl.cc/120qvV
狐狸錢包有IP漏洞很多人錢放狐狸錢包專家怎麼看

作者: frrr (franky1) 2022-01-24 16:39:00

這不算漏洞吧而且補也沒用啊，想查詢某人的IP,就空投一個NFT 然後收到的人自行去google時，也會被釣到點那個NFT的官網，ip不就暴露了這就只是一種釣別人IP的手法

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 16:41:00

要知道對方的IP的確相當容易，用不著啥漏洞

作者: lnonai (lnonai) 2022-01-24 16:44:00

主要就是ip位址可以對應錢包的話，操作高資產錢包的裝置就會被鎖定攻擊

作者: adamcha (生於安樂死於憂患) 2022-01-24 16:50:00

也是吼可見冷錢包的重要性

作者: dmaox3 (毛c) 2022-01-24 17:21:00

Ip 漏洞的話資產本身是安全的吧

作者: Richun (解放左手的OO之力) 2022-01-24 17:24:00

資產本身不會被這樣盜走，但持有者的位置會被鎖定。

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 17:31:00

是啊，PTT本身就會記錄IP，所以版上的都被鎖定了要安全的話還是老方法大筆資金放冷錢包

作者: jackysupper 2022-01-24 17:34:00

怕啥，要擔心的也是有100顆BTC的人要擔心

作者: DarkerDuck (é”å…‹é´¨) 2022-01-24 17:39:00

基本上大部分的人都是浮動IP，很難做持續性的攻擊Server才會用固定IP，不過會搞Server的也都有資安意識不過說實在的這個"漏洞"有什麼補救方法?是要metamask做proxy把所有NFT URI的流量全都重導??還是要做要做一個過濾垃圾NFT機制??無論是哪種方案都會和區塊鏈本來的trustless相違背講白話點，這個攻擊不就是跟附圖的垃圾郵件一樣收件者開圖了，就知道這個信箱的收件者IP了https://tinyurl.com/4zexzfn7看了最後的建議解決方案就是讓使用者多個確認domain的動作

作者: ripple0129 (perry tsai) 2022-01-24 18:17:00

現在NFT就是個假去中心化的東西

作者: lnonai (lnonai) 2022-01-24 18:27:00

所以AR跟FIL的價值就突顯出來了

作者: greg7575 (顧家) 2022-01-24 18:46:00

一般上網不止ip會被記。連螢幕長寬都會

作者: dmaox3 (毛c) 2022-01-24 19:43:00

NFT 本身就是中心化的東西啊你買的是指向某個資料庫位置的雜湊值

作者: saveme (hihi) 2022-01-24 20:06:00

所以我才說去中心化的架構為基礎下去開發新網路,絕大多數幾乎可以擋住 DDOS 攻擊, 幣現行的擋 DDOS 方式有效多了. 每個節點都是浮動 IP, 不斷地換 IP, DDOS 要攻擊的效果幾乎等於零.

作者: kckckckc (KC) 2022-01-24 21:23:00

ip位址唯一不可取代性？？？！

作者: bluefancy (脩) 2022-01-24 21:35:00

一樓長知識

作者: aspd193 (Q胖達2號) 2022-01-25 07:22:00

裡面滿多ETH的忽然怕怕der乾

作者: simpson083 (雷姆，是一種信仰) 2022-01-25 10:00:00

還好我都用行動網路來開安全下庄

作者: fifi82726 2022-01-27 08:22:00

所以開小狐狸買NFT還要搭配VPN

繼續閱讀

[閒聊] 冷錢包的選擇adamcha Re: [閒聊] Crypto.com Visa卡使用心得c6224629 [Coin] OpenSea的手續費myWaWa Re: [交易] MAX 提領kiDJonath [閒聊] 為什麼matrixport的USDC 活期存可以到10.id520 [交易] 電匯到FTX 中轉行問題iwninjawi [新聞] Coinbase 澄清：上幣流程獨立vgbvgb Re: [閒聊] Crypto.com Visa卡使用心得kkjack [閒聊] 奇亞仔呢??Rasin [Coin] Defi 2022年的未來展望EMPshockwave