KECACATAN KESELAMATAN UTAMA di Metamask... Ditemui Oleh 'Penggodam Baik', Dibetulkan Sebelum Orang Jahat Boleh Menggunakannya!
Dompet Crypto paling popular di dunia Metamask mengumumkan bahawa mereka telah menambal lubang keselamatan yang berpotensi menjadi BENCANA.
Syukurlah, ia pertama kali ditemui oleh 'penggodam yang baik' yang segera memaklumkan kepada Metamask tentang kecacatan itu, dan memberitahu mereka cara untuk membetulkannya. Dengan menggunakan nama 'Pasukan Keselamatan Whitehat Global Bersatu' (UGWST), organisasi itu dapat menuntut ganjaran $120,000 untuk mencari kelemahan itu.
Metamask memberitahu kami bahawa tiada pengguna yang terjejas oleh kerentanan ini. UGWST nampaknya yang pertama dan hanya menemuinya, dan mereka hanya berkongsi penemuan mereka dengan Metamask.
Strategi ini terdiri daripada menyamarkan kod berniat jahat pada tapak supaya pengguna mengklik padanya tanpa menyedarinya. Sebagai contoh, jika anda terlibat dalam clickjacking , dengan mengklik "Main" pada video anda boleh memberikan akses kepada dana anda dalam dompet.
Pembangun Metamask segera membetulkannya...
Hanya pengguna sambungan penyemak imbas yang pernah berisiko, tetapi ini adalah kaedah paling popular untuk mengakses dompet Metamask. Penggodam menunjukkan pelancaran Metamask iframe (iaitu, tapak web dalam tapak web lain) dan menetapkannya kepada kelegapan 0%, dengan kata lain dalam tetingkap yang telus sepenuhnya - pengguna tidak akan tahu ia wujud. Kemudian ia adalah masalah menipu pengguna untuk mengklik lokasi tertentu pada skrin mereka, tanpa menyedari mereka sebenarnya menekan butang tidak kelihatan yang mengesahkan transaksi.
Ia mungkin kelihatan seperti iklan pop timbul, tetapi 'X' untuk menutupnya sebenarnya adalah butang untuk mengesahkan menghantar semua Ethereum anda kepada seseorang, contohnya.
Pastikan Anda Kemas Kini...
Secara lalai Metamask mengemas kini secara automatik, tetapi semak semula milik anda untuk selamat. Buka Metamask, pergi ke 'tetapan', kemudian 'kira-kira', dan pastikan anda mempunyai versi 10.14.6 ke atas.
Jika mana-mana nombor tersebut lebih rendah, anda perlu mengemas kini.
Menggoda untuk kebaikan boleh menjadi usaha yang menguntungkan...
Metamask menganugerahkan pencari pepijat $120,000 adalah amalan yang sangat biasa, hampir semua pemain utama dalam teknologi menawarkan 'kurniaan pepijat' yang memberi penggodam cara alternatif yang sah untuk mengubah penemuan mereka menjadi keuntungan.
UGWST, organisasi yang menemui ini juga telah membantu Apple, Reddit, Microsoft, dan melakukan audit keselamatan untuk Crypto.com dan OpenSea.
---------------
Pengarang Oliver Redding
Meja Berita Seattle / / Kajian Dimefi