ГЛАВНАЯ НЕДОСТАТОК БЕЗОПАСНОСТИ в Metamask... Обнаружили «хорошие хакеры», исправили до того, как ее смогли использовать плохие!
Самый популярный в мире крипто-кошелек Metamask объявил об устранении дыры в безопасности, которая потенциально могла стать КАТАСТРОФОЙ.
К счастью, его первыми обнаружили «хорошие хакеры», которые сразу же сообщили Metamask об уязвимости и рассказали, как ее исправить. Организация, получившая название «Объединенная глобальная группа безопасности Whitehat» (UGWST), смогла получить вознаграждение в размере 120,000 XNUMX долларов за обнаружение уязвимости.
Metamask сообщает нам, что пользователей, затронутых этой уязвимостью, не было. UGWST, кажется, был первым и единственным, кто обнаружил это, и они поделились своими открытиями только с Metamask.
Стратегия заключается в маскировке вредоносного кода на сайте, чтобы пользователь нажимал на него, не осознавая этого. Например, если вы попали в кликджекинг , нажав «Воспроизвести» на видео, вы можете предоставить доступ к своим средствам в кошельке.
Разработчики Metamask тут же исправили...
Риску всегда подвергались только пользователи браузерного расширения, но это самый популярный способ доступа к кошелькам Metamask. Хакеры продемонстрировали запуск Metamask iframe (то есть веб-сайт внутри другого веб-сайта) и установку его непрозрачности на 0%, другими словами, в полностью прозрачном окне — пользователь даже не подозревал о его существовании. Затем нужно обмануть пользователя, чтобы он щелкнул определенные места на экране, не подозревая, что на самом деле он нажимает невидимую кнопку, подтверждающую транзакцию.
Это может выглядеть как всплывающая реклама, но «X», чтобы закрыть ее, на самом деле является кнопкой, чтобы подтвердить отправку всего вашего Ethereum кому-то, например.
Убедитесь, что вы в курсе...
По умолчанию Metamask автоматически обновляется, но дважды проверьте свою безопасность. Откройте Metamask, перейдите в «Настройки», затем «О программе» и убедитесь, что у вас установлена версия 10.14.6 или выше.
Если какое-либо из этих чисел ниже, вам необходимо обновить.
Взлом навсегда может быть прибыльным предприятием...
Metamask присуждает искателям ошибок 120,000 XNUMX долларов — очень распространенная практика, практически все крупные игроки в области технологий предлагают «награду за обнаружение ошибок», предоставляя хакерам альтернативный, полностью законный способ превратить свои открытия в прибыль.
UGWST, организация, которая обнаружила это, также помогла Apple, Reddit, Microsoft и провела аудит безопасности для Crypto.com и OpenSea.
---------------
Автор: Оливер Реддинг
Сиэтлская служба новостей / / Димефи Обзор