Metamask descobre vulnerabilidade que permitia roubo de criptomoedas

Escrito por José Faustino em . Publicado em Criptomoedas.

A popular carteira de ativos digitais MetaMask eliminou uma vulnerabilidade que poderia resultar na perda de criptomoedas.

Na verdade, quem descobriu a falha foi a United Global Whitehat Security Team (UGWST). A organização recebeu da MetaMask US$ 120.000 como recompensa pelo feito.

De acordo com a empresa, os analistas René Kroka e José Almeida acharam a falha crítica de segurança na carteira.

No entanto, a empresa destacou que agentes maliciosos não chegaram a explorar a falha. Além disso, a equipe da MetaMask disse que já corrigiu o problema para os seus usuários.

“A vulnerabilidade, que afetava apenas a extensão do navegador, consistia na capacidade de executar a extensão MetaMask como uma camada oculta em cima de outro site. Isso permitia que os invasores induzissem os usuários a revelar seus dados privados ou enviar criptoativos sem perceber”, destacou a MetaMask.

Falha crítica na MetaMask

Conforme destacou a empresa, os usuários podem ver a extensão do navegador MetaMask de duas formas.

A primeira é através de uma pequena janela em forma retangular que aparece na barra do navegador ao clicar em seu ícone. Enquanto isso, a segunda forma consiste em uma visualização de página inteira.

Ou seja, a extensão não pode e nem deve ser vista em um iframe. Iframe é um recurso de HTML que permite aos usuários visualizar o conteúdo de um site em uma página da Web diferente.

A equipe explicou que, por si só, o iframe não é malicioso e nem representa uma ameaça à segurança. Mas agentes maliciosos podem usá-la para enganar os usuários. Essa técnica é conhecida como clickjacking.

Entenda a técnica de clickjacking

Na prática, a técnica ocultava o fato de que a extensão da carteira estava aberta na web. Por exemplo, um usuário pode acessar uma página da web como de um videogame no navegador. Então, ele precisa clicar em vários botões para configurar o jogo e começar a jogá-lo.

“Então, ele clica nesses prompts sem perceber que o jogo impôs sobre ele sua extensão MetaMask aberta em um iframe. Assim, em vez de clicar nos prompts de um videogame, ele está clicando por meio de prompts no MetaMask para enviar seus ativos digitais a um agente malicioso”, esclareceu a equipe.

Por fim, a equipe pediu que os usuários certifiquem-se de que sua extensão MetaMask está, ao menos, na versão 10.14.6.

Leia também: Itaú coordenará emissão de primeiras debêntures tokenizadas do Brasil

Leia também: B3 é autorizada pela CVM a lançar empresa de ativos digitais

Leia também: Real digital terá limites de saques e ‘circuit breakers’ para evitar corrida bancária; entenda

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Categorias

Newsletter

Subscreva a nossa newsletter e receba informação em primeira mão e sem SPAM.

© Como Ganhar Dinheiro. Todos os direitos reservados.