GRANDE FALHA DE SEGURANÇA no Metamask... Descoberto por 'bons hackers', corrigido antes que os maus pudessem usá-lo!
A carteira Crypto mais popular do mundo, Metamask, anunciou que corrigiu uma falha de segurança que potencialmente poderia ter sido um DESASTRE.
Felizmente, foi descoberto pela primeira vez por 'bons hackers' que informaram imediatamente a Metamask sobre a falha e disseram a eles como corrigi-la. Com o nome de 'The United Global Whitehat Security Team' (UGWST), a organização conseguiu reivindicar uma recompensa de US$ 120,000 por encontrar a vulnerabilidade.
Metamask nos diz que não houve usuários afetados por esta vulnerabilidade. O UGWST parece ser o primeiro e único a descobri-lo, e eles só compartilharam suas descobertas com o Metamask.
A estratégia consiste em camuflar um código malicioso em um site para que o usuário clique nele sem perceber. Por exemplo, se você cair em um clickjacking , ao clicar em "Reproduzir" em um vídeo, poderá conceder acesso aos seus fundos em uma carteira.
Os desenvolvedores do Metamask corrigiram imediatamente ...
Apenas os usuários da extensão do navegador estavam em risco, mas este é o método mais popular de acessar as carteiras Metamask. Os hackers demonstraram lançar Metamask em um iframe (ou seja, um site dentro de outro site) e defini-lo com 0% de opacidade, ou seja, em uma janela totalmente transparente - o usuário não teria ideia de que existia. Em seguida, é uma questão de enganar o usuário para que clique em locais específicos em sua tela, sem saber que está realmente pressionando um botão invisível que confirma uma transação.
Pode parecer um anúncio pop-up, mas o 'X' para fechá-lo é na verdade o botão para confirmar o envio de todo o seu Ethereum para alguém, por exemplo.
Certifique-se de estar atualizado...
Por padrão, o Metamask é atualizado automaticamente, mas verifique o seu para estar seguro. Abra o Metamask, vá para 'configurações', depois 'sobre' e verifique se você tem a versão 10.14.6 ou superior.
Se algum desses números for menor, você precisará atualizar.
Hackear para sempre pode ser um empreendimento lucrativo...
Metamask premiar os descobridores de bugs com $ 120,000 é uma prática muito comum, praticamente todos os principais players de tecnologia oferecem uma 'recompensa de bugs' dando aos hackers uma maneira alternativa e completamente legal de transformar suas descobertas em lucro.
A UGWST, a organização que descobriu isso, também ajudou Apple, Reddit, Microsoft e realizou auditorias de segurança para Crypto.com e OpenSea.
---------------
Autor: Oliver Redding
Redação de Seattle / / Revisão Dimefi