MetaMask adresseforgiftning krever enkel motgift

metamask advarer sine brukere mot en voksende ny krypto-svindel kalt "adresseforgiftning", men nyheten har kommet litt sent for noen.

Kryptovaluta-lommebøker kan inkludere en eller flere kontoer, hver med sin egen kryptografisk genererte adresse, forklarer MetaMask i en slipp. Imidlertid er disse lange heksadesimale tallene med hensikt vanskelige å huske, og krever hyppig bruk av kopier og lim. Det er nettopp dette adresseforgiftning forsøker å utnytte.

Hvordan adresser blir "forgiftet"

I stedet for et sofistikert hack som kompromitterer en protokolls infrastruktur, er adresseforgiftning avhengig av menneskelig psykologi og mekanikken til kryptotransaksjoner. Følgende scenario er et eksempel.

I dette tilfellet foretar bruker A vanlige transaksjoner til bruker B, som angriper C blir klar over ved å bruke programvare som overvåker overføringer av visse tokens, typisk stablecoins. Angriperen vil da bruke en "forfengelighet"-adressegenerator for å lage en hackeradresse C som samsvarer nøye med brukeradresse B.

Angriper C vil deretter utføre en transaksjon på $0 mellom brukeradresse A og hackeradresse C. Dette resulterer i "forgiftning" av adressen, ettersom hackeradresse C blir bufret over brukeradresse B for brukeradresse A. Siden hackeradresse C deler samme første og siste 4 sifre som brukeradresse B, angriper C håper at bruker A utilsiktet bruker adressen sin når han prøver å handle med bruker B.

Svindelen kan lett unngås ved å sjekke adressene grundig før du forplikter deg til transaksjoner, uansett hvor kjedelig.

MetaMask feil

Noen brukere er skuffet over forsinkelsen i kunngjøringen av nyheten. "MetaMask dokumenterer endelig adresseforgiftningsangrepet etter 2+ måneder," tvitret Han Tuzun. Hans innlegg ga en link til en artikkel som forklarer svindelen med grundige detaljer datert fra begynnelsen av desember.

MetaMask dokumenterer endelig adresseforgiftningsangrepet etter 2+ måneder.
les også https://t.co/l24rQKy9OL
Til brukere: En adresse som ser ut som din, kan genereres på et sekund.
Til infrastrukturbyggere: Det er ditt ansvar å advare brukere i brukergrensesnittet mot dette angrepet. https://t.co/lz3bXmjnDI
— Han Tuzun (tuzun.eth & tuzun.lens) #DevconIstanbul (@0xTuzun) Januar 12, 2023

Tuzun advarte videre brukere om forfengelighetsadressegeneratorer som kan generere nesten identiske adresser på sekunder. Twitter-brukeren ga også infrastrukturbyggere i oppgave å advare brukere i brukergrensesnittet tilstrekkelig mot slike angrep.

Dette siste tilbakeslaget for MetaMask kommer etter at det møtte sterke offentlige tilbakeslag etter en oppdatering av retningslinjene for dataoppbevaring. Firmaet oppdaterte sin personvernpolicy sent i fjor, noe som førte til rapporter om at det ville resultere i innsamling av brukernes lommebøker og IP-adresser.

Dette førte raskt til en opphetet respons fra kryptosamfunnet, som fikk et innlegg fra utvikleren ConsenSys 6. desember for å prøve å berolige brukerne.

Ansvarsfraskrivelse

BeInCrypto har kontaktet selskap eller person som er involvert i historien for å få en offisiell uttalelse om den siste utviklingen, men den har ennå ikke hørt tilbake.

Kilde: https://beincrypto.com/metamask-addresses-latest-scam-late-for-some/