MetaMask-adresseforgiftning kræver simpel modgift

MetaMask advarer sine brugere mod en voksende ny krypto-fidus kaldet "adresseforgiftning", men nyheden er kommet lidt sent for nogle.

Cryptocurrency wallets kan omfatte en eller flere konti, hver med sin egen kryptografisk genererede adresse, forklarer MetaMask i en frigive. Disse lange hexadecimale tal er dog med vilje svære at huske, hvilket kræver hyppig brug af kopier og indsæt. Det er netop, hvad adresseforgiftning forsøger at udnytte.

Hvordan adresser bliver "forgiftede"

I stedet for et sofistikeret hack, der kompromitterer en protokols infrastruktur, er adresseforgiftning snarere afhængig af menneskelig psykologi og mekanikken i kryptotransaktioner. Følgende scenarie er et eksempel.

I dette tilfælde foretager bruger A regelmæssige transaktioner til bruger B, som angriber C bliver opmærksom på ved at bruge software, der overvåger overførsler af visse tokens, typisk stablecoins. Angriberen vil derefter bruge en "forfængelighed"-adressegenerator til at oprette en hackeradresse C, der matcher brugeradresse B.

Angriber C vil derefter udføre en transaktion på $0 mellem brugeradresse A og hackeradresse C. Dette resulterer i 'forgiftning' af adressen, da hackeradresse C bliver cachelagret over brugeradresse B for brugeradresse A. Da hackeradresse C deler samme første og sidste 4 cifre som brugeradresse B, angriber C håber, at bruger A utilsigtet bruger deres adresse, når han forsøger at handle med bruger B.

Fidusen kan nemt undgås ved grundigt at tjekke adresser, før du forpligter dig til transaktioner, uanset hvor kedelige de end er.

MetaMask fejl

Nogle brugere er skuffede over forsinkelsen i annonceringen af nyheden. "MetaMask dokumenterer endelig adresseforgiftningsangrebet efter 2+ måneder," tweetede Han Tuzun. Hans post gav en link til en artikel, der forklarer fidusen med grundige detaljer, dateret fra begyndelsen af december.

MetaMask dokumenterer endelig adresseforgiftningsangrebet efter 2+ måneder.
læs også https://t.co/l24rQKy9OL
Til brugere: En adresse, der ligner din, kan blive genereret på et sekund.
Til infrastrukturbyggere: Det er dit ansvar at advare brugere i brugergrænsefladen mod dette angreb. https://t.co/lz3bXmjnDI
— Han Tuzun (tuzun.eth & tuzun.lens) #DevconIstanbul (@0xTuzun) Januar 12, 2023

Tuzun advarede yderligere brugere om forfængelighedsadressegeneratorer, der kunne generere næsten identiske adresser på få sekunder. Twitter-brugeren gav også infrastrukturbyggere til opgave at advare brugere i brugergrænsefladen tilstrækkeligt mod sådanne angreb.

Dette seneste tilbageslag for MetaMask kommer efter, at det stod over for stærk offentlig tilbageslag efter en opdatering af dets dataopbevaringspolitikker. Firmaet opdaterede sin privatlivspolitik i slutningen af sidste år, hvilket førte til rapporter om, at det ville resultere i indsamling af brugernes tegnebøger og IP-adresser.

Dette førte hurtigt til en opvarmet respons fra kryptofællesskabet, som fik et indlæg fra udvikleren ConsenSys den 6. december, for at prøve at berolige sine brugere.

Ansvarsfraskrivelse

BeInCrypto har kontaktet virksomhed eller person involveret i historien for at få en officiel erklæring om den seneste udvikling, men den har endnu ikke hørt tilbage.

Kilde: https://beincrypto.com/metamask-addresses-latest-scam-late-for-some/