El criptógrafo Alex Lupascu, alertó a los 21 millones de usuarios de la billetera Metamask, sobre una vulnerabilidad de privacidad crítica con los NFT. Al mismo tiempo demostró con un ejercicio que hizo, como logra obtener la dirección IP de quienes utilizan esta aplicación. Dijo que un pirata informático podría hacer un lanzamiento de un NFT y capturar de manera masiva millones de direcciones de los usuarios. Agregó que esto podría conducir a secuestro de datos personales, y ataques DDoS sin precedentes.
Lupascu explicó que para crear un NFT, se requiere una “blockchain”, una billetera como Metamask y un servidor. El proceso de creación de los tokens no fungibles resulta altamente costoso, al tratar de almacenar una gran cantidad de datos en la cadena de bloques. Es por tal razón que las empresas que permiten emitir estas monedas, almacenan la imagen real en un servidor remoto y la URL de la misma, en la cadena. Cuando un propietario de un NFT envía su token a otro, la billetera criptográfica lee la “blockchain” y escanea el coleccionable que posee. Así obtiene desde el servidor, la imagen remota desde la URL asociada.
La vulnerabilidad de la billetera Metamask con los NFT
El informático advirtió que los problemas pueden empezar si un atacante lograra controlar el servidor donde se aloja la imagen del NFT. La vulnerabilidad encontrada por Lupascu, en la billetera Metamask, tiene que ver con que el dispositivo con la aplicación, filtra la dirección IP al servidor. Esto ocurre cuando el monedero obtiene la imagen remota del coleccionable. Puede ocurrir con las versiones para móviles o computadores de escritorio, incluso con las más recientes.
Develación de la dirección IP
Pero no es suficiente con que un atacante logre controlar los servidores de las empresas que permiten crear NFT. También puede ocurrir que el pirata conozca la dirección de una billetera de un usuario. Entonces puede crear un NFT con una URL, que apunte a su propio servidor y le envíe a la posible víctima el token. Cuando el usuario lo reciba, sin saberlo, le habrá entregado su dirección IP, al atacante, una vez que obtiene la imagen.
En este punto, Lupascu se refirió a que luego de haber revisado exhaustivamente el código de la billetera Metamask en Github, este proceso parece ocurrir de manera automática. En ningún momento se solicita el consentimiento del usuario. Los NFT se muestran automáticamente en función de los datos que la billetera obtiene de sitios como Opensea.io.
Un ataque muy sencillo con los NFT
En su blog, Alex Lupascu mostró los detalles de la prueba que hizo. Dejó claro que un ataque de estos no costaría más de 50 dólares. Se puede llevar a cabo desde un servidor en la nube y producir un ataque masivo sin precedentes conocidos. Podría realizar la entrega de millones de NFT y dirigirlos a una sola URL, con un ataque DDoS a esa dirección. Dependería del tiempo en que los usuarios abren la aplicación y reclaman el token no fungible malicioso. Esto les permitiría crear una red de bots que superaría el ataque con 145 mil dispositivos, dirigido contra sitios web de alto perfil.
También dejó claro que solamente fue revisada la billetera Metamask y desconoce si otras replican el mismo procedimiento.
Subscribe to our newsletter!
Alerta emitida
Esta vulnerabilidad ha sido descubierta desde diciembre de 2021 y el equipo de la billetera Metamask ha sido informado. Le dijeron que ya conocían sobre la situación y tendrían una solución para el segundo trimestre de 2022. El fundador de Metmask, Daniel Finlay, reconoció públicamente la debilidad. Puede ver la investigación completa de Alex Lupascu, con colaboración de Iman Hossini y Cristian Lupascu, en este enlace.
Sitio web sobre criptomonedas, Bitcoin, DeFi, NFT y tecnología blockchain. Aprende con nosotros a utilizar la cadena de bloques.