En résumé :
- Le cryptographe Alexandru Lupascu a découvert une vulnérabilité critique dans le portefeuille Web3 le plus populaire, MetaMask.
- Lupascu a constaté que des entités malveillantes peuvent trouver les données IP des utilisateurs mobiles de MetaMask en leur envoyant des NFT par avion.
- Le fondateur de MetaMask, Daniel Finlay, a admis dans un message sur Twitter que « le problème est largement connu depuis longtemps ». Il n’a pas encore corrigé le problème.
L’application mobile MetaMask peut exposer la vie privée des utilisateurs
Alexandru Lupascu, qui a cofondé le service de nœud de confidentialité OMNIA Protocol, affirme avoir découvert une vulnérabilité critique dans le populaire portefeuille Web3 de ConsenSys, qui permet aux pirates d’accéder aux adresses IP des utilisateurs, créant ainsi un risque pour la vie privée. Une adresse IP est un identifiant mondial unique attribué à un appareil connecté au web. Comme les utilisateurs peuvent stocker leurs actifs cryptographiques sur les portefeuilles MetaMask, la vulnérabilité de découverte de l’adresse IP de son utilisateur est risque pour la confidentialité de ces derniers.
M. Lupascu a publié un billet de blog expliquant comment la vulnérabilité peut être exploitée en mintant et en déposant un NFTsur une adresse Ethereum connectée à MetaMask et utilisée sur un téléphone mobile.
Les NFT sont des actifs numériques qui indiquent la propriété de contenus tels que l’art numérique, la musique et les mèmes. Ils offrent un moyen de symboliser le contenu mais ne stockent généralement pas le contenu lui-même. Étant donné que le stockage de données d’images sur une blockchain comme Ethereum peut être coûteux, les NFT contiennent des localisateurs de ressources uniformes qui pointent vers les données. Le contenu des NFT est souvent stocké soit sur un réseau de stockage décentralisé comme IPFS, soit sur des serveurs cloud centralisés distants.
Par défaut, l’application mobile MetaMask affiche les NFTs stockés dans une adresse utilisant un appel de fonction URL vers les données de l’image. Ces données sont hébergées sur des serveurs distants. Le processus est effectué sans demander le consentement de l’utilisateur afin d’afficher les NFTs contenus dans son portefeuille Ethereum.
Au cours de ce processus d’extraction, toutes les passerelles de serveurs qui gèrent la transmission des données d’image reçoivent les informations IP de l’utilisateur. En général, les projets qui exploitent les serveurs pour les données d’image gardent les données en sécurité.
Dans son enquête, Lupascu a déterminé que des entités malveillantes peuvent trouver les données IP des utilisateurs de MetaMask et exploiter les informations pour exécuter des attaques ciblées. Dans son article de blog, Lupascu a expliqué :
« Si un acteur malveillant ne connaît que votre adresse blockchain, il peut créer un NFT avec une URL pointant vers son serveur et transférer la propriété du NFT à votre adresse. Ainsi, lorsque votre crypto portefeuille récupère l’image distante du serveur, cela compromettra votre vie privée.
Lupascu a testé la vulnérabilité en créant un NFT sur OpenSea basé sur la norme ERC-1155. Il a ensuite utilisé un éditeur de contrats intelligents pour modifier l’URL originale liée au NFT afin de pointer vers un nouveau serveur sous son contrôle. Il à ensuite envoyé le NFT à une adresse Ethereum. Lorsqu’il accédait à cette adresse via l’application mobile MetaMask, son adresse IP apparaissait sur le serveur qu’il contrôlait. Il a déclaré que l’exécution de l’attaque lui avait coûté environ 50 dollars.
Lupascu a déclaré qu’il avait informé l’équipe de MetaMask du problème à la mi-décembre 2021, ce qui signifie que les développeurs de portefeuille Web3 était au courant du problème depuis au moins un mois. L’équipe de MetaMask a promis de publier un correctif d’ici le deuxième trimestre de 2022, un délai que Lupascu considère comme « inacceptable » compte tenu de la gravité du problème.
« Alex a raison de nous rappeler de ne pas l’avoir abordé plus tôt. Commencer à travailler dessus maintenant. Merci pour le coup de pied dans le pantalon, et désolé d’en avoir besoin.
M. Finlay a également proposé que le portefeuille ne puisse « charger que des liens de type IPFS par défaut« . En outre, les utilisateurs de MetaMask devront donner leur consentement explicite pour aller chercher des données NFT stockées sur des serveurs tiers.
Pendant ce temps, Lupascu explique qu’il pense que les utilisateurs d’Ethereum doivent être vigilants s’ils reçoivent des NFT parachutés (airdrop), et qu’il est conseillé d’y accéder uniquement via OpenSea. « En attendant que ce problème soit résolu sur l’application mobile, utilisez la plateforme OpenSea avec n’importe quel portefeuille compatible Web3 pour explorer vos pièces de collection. Nous rappelons à tous que la confidentialité hors chaîne est très importante, ne la négligez pas« , a-t-il ajouté.
Ces derniers mois, les collectionneurs de NFT ont perdu des millions de dollars d’actifs numériques à la suite d’attaques, de piratages et d’escroqueries. De nombreux utilisateurs concernés stockaient des NFT de valeur comme les Bored Ape Yacht Club et d’autres collections recherchées sur des portefeuilles MetaMask et ont subi des attaques de phishing. MetaMask étant un hot wallet, les voleurs peuvent drainer les fonds assez facilement une fois qu’ils ont la clé privée d’un utilisateur. Comme les clés privées d’un hot wallet peuvent être compromises par des attaques de phishing et de logiciels malveillants, elles sont généralement considérées comme moins sûres que les options de stockage à froid telles que les hardware wallets, qui nécessitent l’accès à un dispositif physique pour accéder aux fonds.
MetaMask est le portefeuille Web3 le plus populaire pour accéder à Ethereum et à d’autres réseaux de blockchain compatibles avec EVM. Il comptait plus de 21 millions d’utilisateurs actifs mensuels en novembre 2021, selon un communiqué de presse de ConsenSys.
Parfois ma traduction est pourrie, mais le principal c'est que t'es l'info non ?
