La billetera de criptomonedas más popular del mundo, Metamask, anunció que ha reparado un agujero de seguridad que potencialmente podría haber sido un DESASTRE.
Afortunadamente, fue descubierto por primera vez por "buenos piratas informáticos" que inmediatamente informaron a Metamask sobre la falla y les dijeron cómo solucionarlo. Bajo el nombre de 'The United Global Whitehat Security Team' (UGWST), la organización pudo reclamar una recompensa de $ 120,000 por encontrar la vulnerabilidad.
Metamask nos dice que no hubo usuarios afectados por esta vulnerabilidad. UGWST parece ser el primero y único en descubrirlo, y solo compartieron sus hallazgos con Metamask.
La estrategia consiste en camuflar un código malicioso en un sitio para que el usuario haga clic en él sin darse cuenta. Por ejemplo, si cae en el secuestro de clics, al hacer clic en "Reproducir" en un video, podría estar otorgando acceso a sus fondos en una billetera.
Los desarrolladores de Metamask lo arreglaron de inmediato...
Solo los usuarios de la extensión del navegador estuvieron en riesgo, pero este es el método más popular para acceder a las billeteras Metamask. Los piratas informáticos demostraron lanzar Metamask en un iframe (es decir, un sitio web dentro de otro sitio web) y establecerlo en 0% de opacidad, en otras palabras, en una ventana completamente transparente: el usuario no tendría idea de que existía. Luego se trata de engañar al usuario para que haga clic en ubicaciones específicas en su pantalla, sin saber que en realidad está presionando un botón invisible que confirma una transacción.
Podría parecer un anuncio emergente, pero la 'X' para cerrarlo es en realidad el botón para confirmar el envío de todo su Ethereum a alguien, por ejemplo.
Asegúrese de estar actualizado...
Por defecto, Metamask se actualiza automáticamente, pero verifique el suyo para estar seguro. Abra Metamask, vaya a 'configuración', luego a 'acerca de' y asegúrese de tener la versión 10.14.6 o superior.
Si alguno de esos números es más bajo, debe actualizar.
Hackear para siempre puede ser una empresa rentable...
Metamask otorga a los buscadores de errores $ 120,000 es una práctica muy común, prácticamente todos los principales actores en tecnología ofrecen una 'recompensa por errores' que brinda a los piratas informáticos una forma alternativa y completamente legal de convertir sus descubrimientos en ganancias.
UGWST, la organización que descubrió esto, también ayudó a Apple, Reddit, Microsoft y realizó auditorías de seguridad para Crypto.com y OpenSea.
---------------
Escrito por: Oliver Redding
Escritorio de Seattle / / Revisión de Dimefi
Sin comentarios
Publicar un comentario