Ethereum Blockchain ağının en çok kullanılan tarayıcı cüzdanlarından olan MetaMask, bir güvenlik açığı ile gündeme geldi. Bir kriptograf ve güvenlik uzmanı, MetaMask kullanıcılarının IP adreslerini ifşa etme riski altında olduğunu ortaya çıkardı.
İşin dikkat çeken kısmı ise MetaMask Kurucusu Daniel Finlay’in, Twitter üzerinden sorunun uzun süredir yaygın olarak bilindiğini itiraf etmesi oldu.
MetaMask Güvenlik Açığı Hâla Düzeltilmedi
Kriptograf ve güvenlik uzmanı Alexandru Lupascu, uygulamaya mobil cihazlardan erişen MetaMask kullanıcılarının IP adreslerini ifşa etme riski altında olduğunu kendi blog hesabında detayları ile açıkladı. Gizlilik Node’u hizmeti OMNIA Protocol’ün kurucularından olan Lupascu, cep telefonunda kullanılan MetaMask bağlantılı bir Ethereum adresine bir NFT işlemi basıp göndererek güvenlik açığından nasıl yararlanılabileceğini açıklayan bir blog yazısı hazırladı.
Varsayılan olarak MetaMask mobil uygulaması, görüntü verilerine bir URL işlev çağrısı kullanarak bir adreste depolanan NFT’leri görüntülüyor. Bu veriler ise uzak sunucularda barındırılıyor. İşlem ise Ethereum cüzdanlarında hangi NFT’lerin bulunduğunu görüntülemek için kullanıcının rızası istenmeden yapılıyor.
Bu alma işlemi sırasında, görüntü verilerinin iletimini yöneten tüm sunucu ağ geçitleri, kullanıcının IP bilgilerini alıyor ve bilgisiyar korsanları için kolay av haline getiriyor.
Lupascu blog yazısında şunları açıkladı:
“Kötü niyetli birisi yalnızca Blockchain adresinizi bilerek, sunucusuna işaret eden bir URL’ye sahip bir NFT basabilir ve NFT’nin sahipliğini adresinize aktarabilir. Böylece kripto cüzdanınız uzak görüntüyü sunucudan aldığında gizliliğinizi tehlikeye atacaktır.”
Lupascu, ERC-1155 standardına dayalı olarak OpenSea üzerinde bir NFT basarak güvenlik açığını test etti. Ardından, NFT ile bağlantılı orijinal URL’yi kontrolü altındaki yeni bir sunucuya işaret edecek şekilde değiştirmek için akıllı bir sözleşme düzenleyicisi kullandı.
