Världens mest populära kryptoplånbok Metamask meddelade att de har åtgärdat ett säkerhetshål som potentiellt kunde ha varit en KATASTROF.
Tack och lov upptäcktes det först av "bra hackare" som omedelbart informerade Metamask om felet och berättade för dem hur de skulle åtgärda det. Genom att gå under namnet "The United Global Whitehat Security Team" (UGWST), kunde organisationen göra anspråk på en belöning på 120,000 XNUMX $ för att hitta sårbarheten.
Metamask berättar att det inte fanns några användare som påverkades av denna sårbarhet. UGWST verkar vara den första och enda att upptäcka det, och de delade bara sina fynd med Metamask.
Strategin består i att kamouflera skadlig kod på en sajt så att användaren klickar på den utan att inse det. Om du till exempel hamnar i clickjacking kan du genom att klicka på "Spela" på en video ge dig tillgång till dina pengar i en plånbok.
Metamask-utvecklare fixade det omedelbart...
Endast användare av webbläsartillägget var någonsin i riskzonen, men detta är den mest populära metoden för att komma åt Metamask-plånböcker. Hackarna demonstrerade att man lanserade Metamask en iframe (det vill säga en webbplats inom en annan webbplats) och satte den till 0% opacitet, med andra ord i ett helt transparent fönster - användaren skulle inte ha någon aning om att det fanns. Sedan handlar det om att lura användaren att klicka på specifika platser på sin skärm, ovetande om att de faktiskt trycker på en osynlig knapp som bekräftar en transaktion.
Det kan se ut som en popup-annons, men "X" för att stänga den är faktiskt knappen för att bekräfta att du skickar alla dina Ethereum till någon, till exempel.
Se till att du är uppdaterad...
Som standard uppdateras Metamask automatiskt, men dubbelkolla din för att vara säker. Öppna Metamask, gå till "inställningar", sedan "om" och se till att du har version 10.14.6 eller senare.
Om någon av dessa siffror är lägre måste du uppdatera.
Att hacka för gott kan vara en lönsam satsning...
Metamask tilldelar buggfinnarna $120,000 XNUMX är en mycket vanlig praxis, praktiskt taget alla stora aktörer inom teknik erbjuder en "bug bounty" som ger hackare ett alternativt, helt lagligt sätt att förvandla sina upptäckter till vinst.
UGWST, organisationen som upptäckte detta har också hjälpt Apple, Reddit, Microsoft och utfört säkerhetsgranskningar för Crypto.com och OpenSea.
---------------
Författare: Oliver Redding
Seattle Newsdesk / / Dimefi recension
Inga kommentarer
Posta en kommentar