محبوب ترین کیف پول کریپتو در جهان Metamask اعلام کرد که یک حفره امنیتی را اصلاح کرده است که به طور بالقوه می توانست یک فاجعه باشد.

خوشبختانه، اولین بار توسط "هکرهای خوب" کشف شد که بلافاصله متامسک را از نقص مطلع کردند و به آنها گفتند که چگونه آن را برطرف کنند. این سازمان با نام "تیم امنیتی متحد جهانی Whitehat" (UGWST) توانست برای یافتن این آسیب پذیری 120,000 دلار جایزه بگیرد.

Metamask به ما می گوید که هیچ کاربری تحت تأثیر این آسیب پذیری قرار نگرفته است. به نظر می رسد UGWST اولین و تنها کسی است که آن را کشف کرده است و آنها فقط یافته های خود را با Metamask به اشتراک گذاشته اند.

این استراتژی شامل استتار کدهای مخرب در یک سایت است به طوری که کاربر بدون اینکه متوجه شود روی آن کلیک کند. به عنوان مثال، اگر درگیر جک کلیک شدید، با کلیک کردن روی «پخش» در یک ویدیو می‌توانید دسترسی به وجوه خود را در یک کیف پول اعطا کنید.

توسعه دهندگان Metamask بلافاصله آن را برطرف کردند...

تنها کاربران افزونه مرورگر تا به حال در معرض خطر بودند، اما این محبوب ترین روش برای دسترسی به کیف پول های Metamask است. هکرها راه اندازی Metamask یک iframe (یعنی یک وب سایت در یک وب سایت دیگر) و تنظیم آن را بر روی 0% opacity، به عبارت دیگر در یک پنجره کاملا شفاف نشان دادند - کاربر هیچ تصوری از وجود آن نداشت. سپس فریب کاربر برای کلیک کردن بر روی مکان‌های خاص روی صفحه‌نمایش، غافل از اینکه در واقع یک دکمه نامرئی را فشار می‌دهد که تراکنش را تأیید می‌کند.

ممکن است شبیه یک تبلیغ پاپ‌آپ به نظر برسد، اما «X» برای بستن آن در واقع دکمه‌ای برای تأیید ارسال کل اتریوم شما به شخصی است.

مطمئن شوید که به روز هستید ...

به‌طور پیش‌فرض Metamask به‌طور خودکار به‌روزرسانی می‌شود، اما برای ایمن بودن مال خود را دوباره بررسی کنید. Metamask را باز کنید، به "تنظیمات" و سپس "درباره" بروید و مطمئن شوید که نسخه 10.14.6 یا بالاتر را دارید.

اگر هر یک از این اعداد کمتر است، باید به روز رسانی کنید. 

هک کردن برای همیشه می تواند یک سرمایه گذاری سودآور باشد...

اعطای مبلغ 120,000 دلاری متاماسک به باگ یاب ها یک روش بسیار متداول است، تقریباً همه بازیگران اصلی فناوری یک «پاداش باگ» ارائه می دهند که به هکرها یک راه جایگزین و کاملا قانونی برای تبدیل اکتشافات خود به سود ارائه می دهند. 

UGWST، سازمانی که این را کشف کرد، به اپل، ردیت، مایکروسافت، و ممیزی های امنیتی برای Crypto.com و OpenSea نیز کمک کرده است. 

---------------
نویسنده: الیور ردینگ
دفتر خبری سیاتل  / اخبار Crypto / بررسی Dimefi