MetaMask sabe que tiene una vulnerabilidad de privacidad crítica, pero no la ha solucionado

Alexandru Lupascu dice que los usuarios de MetaMask que acceden a la aplicación en dispositivos móviles corren el riesgo de exponer su dirección IP.

La aplicación móvil MetaMask puede exponer la privacidad de los usuarios

Los usuarios de MetaMask pueden estar poniendo en riesgo su privacidad, advirtió un criptógrafo.

Alexandru Lupascu, quien cofundó el servicio de nodo de privacidad OMNIA Protocol, dice que encontró una vulnerabilidad crítica en la popular billetera Web3 de ConsenSys que brinda a los piratas informáticos una forma de acceder a las direcciones IP de los usuarios, creando así un riesgo de privacidad. Una dirección IP es un identificador global único asignado a un dispositivo conectado a la web. Como los usuarios pueden almacenar sus activos criptográficos en las billeteras MetaMask, una vulnerabilidad de dirección IP es una preocupación importante, ya que podría crear una forma para que los piratas informáticos identifiquen dónde accede el usuario a la billetera.

Lupascu publicado una entrada de blog explicando cómo se puede explotar la vulnerabilidad acuñando y lanzando desde el aire un coleccionable NFT a una dirección de Ethereum conectada a MetaMask utilizada en un teléfono móvil.

Los NFT son activos digitales que denotan la propiedad de contenido como arte digital, música y memes. Ofrecen una forma de tokenizar el contenido, pero normalmente no almacenan el contenido real. Dado que almacenar datos de imágenes en una cadena de bloques como Ethereum puede ser costoso, los NFT contienen localizadores uniformes de recursos que apuntan a los datos. El contenido de los NFT a menudo se almacena en una red de almacenamiento descentralizada como IPFS o en servidores de nube centralizados remotos.

De forma predeterminada, la aplicación móvil MetaMask muestra los NFT almacenados en una dirección mediante una llamada de función de URL a los datos de la imagen. Estos datos están alojados en servidores remotos. El proceso se realiza sin solicitar el consentimiento del usuario para mostrar qué NFT contiene su billetera Ethereum.

Durante este proceso de obtención, todas las puertas de enlace del servidor que manejan la transmisión de datos de imagen reciben la información de IP del usuario. Generalmente, los proyectos que operan los servidores para los datos de imagen mantienen los datos seguros.

En su investigación, Lupascu determinó que las entidades maliciosas pueden encontrar los datos de IP de los usuarios de MetaMask y explotar la información para ejecutar ataques dirigidos. En su publicación de blog, Lupascu explicó:

“Si un actor malintencionado solo conoce su dirección de cadena de bloques, puede crear un NFT con una URL que apunte a su servidor y transferir la propiedad del NFT a su dirección. Por lo tanto, cuando su billetera criptográfica obtenga la imagen remota del servidor, comprometerá su privacidad”.

Lupascu probó la vulnerabilidad acuñando un NFT en OpenSea basado en el estándar ERC-1155. Luego usó un editor de contratos inteligentes para cambiar la URL original vinculada con el NFT para apuntar a un nuevo servidor bajo su control. Luego, Lupascu envió el NFT a una dirección de Ethereum. Cuando accedió a la dirección a través de la aplicación móvil MetaMask, su dirección IP apareció en el servidor que controlaba. Dijo que costó unos 50 dólares ejecutar el ataque.

Lupascu le dijo a Crypto Briefing que notificó al equipo de MetaMask sobre el problema a mediados de diciembre de 2021, lo que significa que la billetera Web3 ha estado al tanto del problema durante al menos un mes. El equipo de MetaMask prometió lanzar un parche para el segundo trimestre de 2022, un plazo que Lupascu considera «inaceptable» dada la gravedad del asunto.

“Alex tiene razón al llamarnos por no abordarlo antes. Comenzando a trabajar en eso ahora. Gracias por la patada en los pantalones, y siento que lo necesitáramos”.

finlay tiene también propuesto que la billetera podría «solo cargar enlaces de tipo IPFS de forma predeterminada». Además, los usuarios de MetaMask deberán dar su consentimiento explícito para obtener datos NFT almacenados en servidores de terceros.

Mientras tanto, Lupascu dice que cree que los usuarios de Ethereum deben estar atentos si reciben NFT lanzados desde el aire, y que es recomendable acceder a ellos solo a través de OpenSea. “Hasta que este problema se solucione en la aplicación móvil, use el Mar abierto plataforma con cualquier billetera compatible con Web3 para explorar sus coleccionables. Un amable recordatorio para todos de que la privacidad fuera de la cadena es realmente importante, no la descuiden”, dijo.

En los últimos meses, los coleccionistas de NFT han perdido millones de dólares en activos digitales a través de ataques, piratería y estafas. Muchos de los usuarios afectados almacenaron valiosos NFT de Bored Ape Yacht Club y otras colecciones solicitadas en billeteras MetaMask y sufrieron ataques de phishing. Como MetaMask es una billetera caliente, los ladrones pueden drenar fondos con relativa facilidad una vez que tienen la clave privada de un usuario. Dado que las claves privadas de una billetera caliente pueden verse comprometidas a través de ataques de phishing y malware, se las considera menos seguras que las opciones de almacenamiento en frío, como las billeteras de hardware, que requieren acceso a un dispositivo físico para acceder a los fondos.

MetaMask es la billetera Web3 más popular para acceder a Ethereum y otras redes de cadena de bloques compatibles con EVM. Tenía más de 21 millones de usuarios activos mensuales a noviembre de 2021, según un Comunicado de prensa de ConsenSys.

Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y otras criptomonedas.