Blockchain HaberleriHaberlerNFT Haberleri

MetaMask, Kritik Bir Gizlilik Açığı Olduğunu %100 Bilmesine Rağmen Düzeltme Yapmadı

Kısa Notlar

  • Kriptograf Alexandru Lupascu, en popüler Web3 cüzdanı MetaMask’ta kritik bir güvenlik açığı keşfetti.
  • Lupascu, kötü niyetli varlıkların MetaMask mobil kullanıcılarının IP verilerini nasıl bulabileceğini keşfetti.
  • MetaMask kurucusu Daniel Finlay, bir Twitter gönderisinde “sorunun uzun süredir yaygın olarak bilindiğini” itiraf etti. Finlay henüz sorunu çözmedi.

Alexandru Lupascu, uygulamaya mobil cihazlardan erişen MetaMask kullanıcılarının IP adreslerini ifşa etme riski altında olduğunu söylüyor.

MetaMask Mobil Uygulaması Kullanıcıların Gizliliğini Koruyamayabilir

Bir kriptograf, MetaMask kullanıcılarının gizliliklerini riske atıyor olabileceği konusunda uyardı.

Gizlilik düğümü hizmeti OMNIA Protocol‘ün kurucularından Alexandru Lupascu, ConsenSys‘in popüler Web3 cüzdanında, bilgisayar korsanlarına kullanıcıların IP adreslerine erişmeleri için bir yol sağlayan ve böylece bir gizlilik riski oluşturan kritik bir güvenlik açığı bulduğunu söyledi. IP adresi, web’e bağlı bir cihaza atanan benzersiz bir küresel tanımlayıcıdır. Kullanıcılar kripto varlıklarını MetaMask cüzdanlarında saklayabildiğinden, bir IP adresi güvenlik açığı, bilgisayar korsanlarının kullanıcının cüzdana nereden eriştiğini belirlemesi için bir yol oluşturabileceğinden büyük bir endişe kaynağıdır.

Lupascu, bir cep telefonunda kullanılan MetaMask bağlantılı bir Ethereum adresine bir NFT toplanabilirliği basıp havadan göndererek güvenlik açığından nasıl yararlanılabileceğini açıklayan bir blog yazısı yayınladı.

NFT’ler, dijital sanat, müzik ve memler gibi içeriğin sahipliğini gösteren dijital varlıklardır. İçeriği belirtmek için bir yol sunarlar; ancak genellikle gerçek içeriği saklamazlar. Görüntü verilerini Ethereum gibi bir blok zincirinde depolamak pahalı olabileceğinden, NFT’ler verilere işaret eden Tekdüzen Kaynak Bulucuları (Uniform Resource Locators) içerir. NFT’lerin içeriği genellikle ya IPFS gibi merkezi olmayan bir depolama ağında ya da uzak merkezi bulut sunucularında depolanır.

Varsayılan olarak, MetaMask mobil uygulaması, görüntü verilerine bir URL işlev çağrısı kullanarak bir adreste depolanan NFT’leri görüntüler. Bu veriler uzak sunucularda barındırılır. İşlem, Ethereum cüzdanlarında hangi NFT’lerin bulunduğunu görüntülemek için kullanıcının rızası istenmeden yapılır.

Bu alma işlemi sırasında, görüntü verilerinin iletimini yöneten tüm sunucu ağ geçitleri, kullanıcının IP bilgilerini alır. Genel olarak, görüntü verileri için sunucuları çalıştıran projeler verileri güvende tutar.

Lupascu araştırmasında, kötü niyetli varlıkların MetaMask kullanıcılarının IP verilerini bulabileceğini ve bu bilgileri hedefli saldırılar gerçekleştirmek için kullanabileceğini belirledi. Lupascu blog yazısında şunları açıkladı:

“Kötü niyetli bir oyuncu yalnızca blok zinciri adresinizi biliyorsa, sunucusuna işaret eden bir URL’ye sahip bir NFT basabilir ve NFT’nin sahipliğini adresinize aktarabilir. Böylece kripto cüzdanınız uzak görüntüyü sunucudan aldığında gizliliğinizi tehlikeye atacaktır.”

Lupascu, ERC-1155 standardına dayalı olarak OpenSea üzerinde bir NFT basarak güvenlik açığını test etti. Ardından, NFT ile bağlantılı orijinal URL’yi kontrolü altındaki yeni bir sunucuya işaret edecek şekilde değiştirmek için akıllı bir sözleşme düzenleyicisi kullandı. Ardından Lupascu, NFT’yi bir Ethereum adresine gönderdi. Adrese MetaMask mobil uygulaması üzerinden eriştiğinde, kontrol ettiği sunucuda IP adresi göründü. Saldırıyı gerçekleştirmenin yaklaşık 50 dolara mal olduğunu söyledi.

Bu Haber de İlginizi Çekebilir: Kripto Para Girişimleri Beş Yıl Öncesine Göre 30 Kat Daha Fazla Para Kazandı

Lupascu, Crypto Briefing’e, konuyu 2021 Aralık ayının ortalarında MetaMask ekibine bildirdiğini, yani Web3 cüzdanının sorunun en az bir aydır farkında olduğunu söyledi. MetaMask ekibi, 2022’nin ikinci çeyreğine kadar bir yama yayınlayacağına söz verdi.

Güvenlik açığına değinen MetaMask kurucusu Daniel Finlay, Lupascu’ya verdiği bir tweet yanıtında “sorunun uzun süredir yaygın olarak bilindiğini” itiraf etti. Ekledi:

“Alex, daha erken ele almadığımız için bizi aramakta haklı. Şimdi üzerinde çalışmaya başladık. Arkamızı tekmelediğin için teşekkürler ve buna ihtiyacımız olduğu için üzgünüm.”

Finlay ayrıca cüzdanın “varsayılan olarak yalnızca IPFS tipi bağlantılar yükleyebileceğini” söyledi. Ayrıca, MetaMask kullanıcılarının üçüncü taraf sunucularda depolanan NFT verilerini almak için açık onay vermesi gerekecek.

Bu arada Lupascu, Ethereum kullanıcılarının airdrop NFT‘leri aldıklarında dikkatli olmaları gerektiğini ve bunlara yalnızca OpenSea üzerinden erişmenin tavsiye edildiğini söylüyor. “Mobil uygulamada bu sorun çözülene kadar, koleksiyonlarınızı keşfetmek için herhangi bir Web3 uyumlu cüzdanla OpenSea platformunu kullanın. Herkese, zincir dışı gizliliğin gerçekten önemli olduğunu hatırlatan bir hatırlatmadır ve bunu ihmal etmeyin” dedi.

Son aylarda NFT koleksiyoncuları saldırılar, hack’ler ve dolandırıcılık yoluyla milyonlarca dolar değerinde dijital varlık kaybetti. Etkilenen kullanıcıların çoğu, Bored Ape Yacht Club‘dan değerli NFT’leri ve MetaMask cüzdanlarında aranan diğer koleksiyonları depoladı ve kimlik avı saldırılarına maruz kaldı. MetaMask sıcak bir cüzdan olduğundan, hırsızlar bir kullanıcının özel anahtarına sahip olduklarında nispeten kolaylıkla para çekebilir. Sıcak bir cüzdanın özel anahtarları, kimlik avı ve kötü amaçlı yazılım saldırıları yoluyla tehlikeye atılabileceğinden, fonlara erişmek için fiziksel bir cihaza erişim gerektiren donanım cüzdanları gibi soğuk depolama seçeneklerinden daha az güvenli olarak kabul edilir.

MetaMask, Ethereum ve diğer EVM uyumlu blok zincir ağlarına erişmek için en popüler Web3 cüzdanıdır. ConsenSys basın açıklamasına göre, Kasım 2021 itibariyle 21 milyondan fazla aylık aktif kullanıcıya sahipti.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu