MetaMask Cüzdanınızda Oturan Ethereum Ne Kadar Güvenli?
MetaMask geliştiricileri için amansız yedi gün oldu.
Solana’daki binlerce yazılım cüzdanından 4,5 milyon dolarlık fonun çekilmiş olduğu haberine tepki olarak, MetaMask’ın arkasındaki ekip – Ethereum ve Ethereum uyumlu ağlar için açık ara en popüler yazılım cüzdanı – cüzdanın kod tabanını taradı. kullanıcılar benzer bir saldırıdan etkilenmeyecektir.
Bu tür yangın tatbikatı başka yerlerde de tekrarlandı. Near Wallet’ın saldırıya uğramış Solana cüzdanlarına benzer bir güvenlik açığına haiz olabileceğine dair raporlarda, protokolün Twitter hesabı Perşembe gecesi, kullananların güvenlik ayarlarını değiştirmelerinin “şiddetle tavsiye edildiğini” söylemiş oldu.
Bir güvenlik açığından sonrasında güvenlik açıklarını taramak, geliştiricilerin güvenliği ele alma yollarından biridir. İdeal olarak, onları istismar edilmeden ilkin bulurlar. MetaMask daha ilkin güvenlik problemlerine daha iyi cevap verebilmek için ekiplerini tekrardan düzenlemeye çalıştığını söylemişti, sadece buna ayak uydurmak için savaşım ettiğine dair işaretler var.
yanıtsız mesajlar
Yakın tarihindeki bir örnekte, Aurox CEO’su Giorgi Khazaradze, MetaMask’ın ekibini Haziran ayında bir güvenlik açığı hakkında uyarmaya çalıştığında tepkisiz bulduğunu söylemiş oldu.
Decrypt, ekibinin kendi tarayıcı uzantısı cüzdanlarını oluşturdukları için MetaMask’ın açık kaynak kodlu ve GitHub deposunda görüntülenebilen kod tabanına baktığını söylemiş oldu.
Cüzdan duyuruldu, sadece hemen hemen piyasaya sürülmedi. Olduğunda, MetaMask ile rekabet edecek. Açıkça söylemek gerekirse: Bu, Khazaradze’nin yeni çıkan ürünü için uzak ve uzak en büyük rakibin ne olduğu mevzusunda kuşku uyandırmaktan faydalanacağı anlamına geliyor.
Ne de olsa MetaMask’i geliştiren (ve tam izahat, Decrypt yatırımcısı olan) ConsenSys, 7 milyar dolarlık bir değerlemeyle 450 milyon dolarlık D Serisi turunu yeni kapattı – büyük seviyede MetaMask’in yeni müşterileri çekme oranında destek oldu. kullanıcılar. Mart ayı itibarıyla MetaMask, Kasım 2021’deki 21 milyona gore %42 artışla 30 milyondan fazla aylık etken kullanıcıya sahipti.
Khazaradze, ekibinin bir web sayfasına gizli saklı bir merkezi olmayan uygulama yada dapp eklemek için satır içi çerçeve yada iframe adında olan bir HTML öğesinin kullanılmasının mümkün olacağını fark ettiğini söylemiş oldu.
Bu, bir saldırganın varsayımsal olarak yasal bir uygulamaya benzeyen sadece MetaMask kullanıcısının asla görmediği bir başka sayfaya bağlanan bir sayfa oluşturabileceği anlamına gelir. Bu yüzden, yeni bir projeyi desteklemek yada bir NFT satın almak için bazı Ethereum’u madeni paralarla değişiklik yapmak yerine, kullanıcı bilincinde olmadan kriptolarını direkt bir hırsızın cüzdanına gönderiyor olabilir.
Bu tür bir güvenlik açığı, MetaMask’ın bir web sayfasında bir dapp tespit ederse, kullanıcılardan otomatikman bir dapp’e bağlanmalarını istemesinden faydalanabilir. MetaMask’in tarayıcı uzantısı sürümü için standart davranıştır. Güvenlik açıkları ve saldırganlar bağlamı haricinde, bir kullanıcı ile dapp’lerle etkileşim kurma kabiliyeti içinde daha azca tıklama elde eden bir özelliktir.
MetaMask’ın Haziran ayında 120.000 $ ödül ödediği bir tıklama güvenlik açığı ile benzer, sadece tam olarak aynı değil. Bununla, bir saldırgan MetaMask’in kendisini bir web sayfasında gizler ve kullanıcıyı hususi verileri ifşa etmesi yada para geçirme etmesi için kandırır.
“Bu değişik bir güvenlik açığı. Bu MetaMask’ın kendisindeydi. Temel olarak, MetaMask’i çerçeveleyebilir ve peşinden insanları tıklatabilirsiniz,” dedi Khazaradze. “Oysa bizim bulduğumuz dapp’leri ımarlamak. Cüzdan otomatikman bu uygulamalara bağlanır ve bu da bir saldırganın belirli işlemleri gerçekleştirmeniz için sizi kandırmasına izin verebilir.”
Khazaradze, 27 Haziran’da güvenlik açığı ile ilgili olarak MetaMask ile iletişime geçmeye çalıştığını söylemiş oldu. Ilkin firmanın destek söyleşi hususi durumunu denediğini ve uygulamanın GitHub’ına bir gönderi yapmasının söylendiğini söylemiş oldu. Fakat bunu yaparken kendini rahat hissetmiyordu.
Sonrasında MetaMask desteğine direkt e-posta gönderdiğini, sadece destek olmayan bir cevap aldığını söylemiş oldu: “Son aşama yüksek hacimli sorgular yaşıyoruz. Destek sorularına cevap verme mevzusundaki verimliliğimizi çoğaltmak amacıyla, desteğe direkt e-postalar artık etkinleştirilmiyor.”
Bu aşamada Khazaradze, ekibe güvenlik açığı hakkında informasyon vermeye çalışmaktan vazgeçtiğini ve Decrypt’e ulaştığını söylemiş oldu.
MetaMask cevap verir
MetaMask’ın güvenlik ekibinin bir üyesi olan Herman Junge, Decrypt’e uygulamanın destek ekibinin GitHub’da listelenen bir iframe güvenlik açığını istemeyeceğini söylemiş oldu.
“MetaMask’ta, iframe raporlarını ciddiye alıyoruz ve HackerOne’daki hata ödül programımız vesilesiyle onlara lüzumlu prosedürü uyguluyoruz. Bir güvenlik araştırmacısı raporunu başka bir örnek kullanarak gönderirse, onları HackerOne’a gitmeye çağrı ediyoruz” dedi. “Kayıtlarımızda, araştırmacıları GitHub’a bir iframe raporu göndermeye teşvik ettiğimiz herhangi bir bildiri yok.”
MetaMask halkla ilişkiler ile yapmış olduğu bir e-posta görüşmesinde Decrypt, Aurox ekibinin bulduğunu iddia etmiş olduğu güvenlik açığını deklare etti. E-postayla gönderilen ifadesinde Junge, iddia edilen güvenlik açığını kabul etmedi yada MetaMask’in problemi araştıracağını söylemedi.
Sadece, uygulama ekibinin problemi çözme şansı bulamadan etken bir güvenlik sorununu yayınlamanın “masum insanları gereksiz riske atabileceğini” söylemiş oldu. Sadece şimdiye kadar, destek mesajlarında kullanılan dil, MetaMask’ın Haziran ayında bir hata ödül programı başlatmış olduğu HackerOne hakkında hiçbir şeyden bahsetmiyor.
‘Şov’ye başvurmak
Güvenlik toplumunda, bir şirkete bir güvenlik açığı hakkında hususi olarak bildirimde bulunmak ustalaşmış nezaket gereğidir, aynı nedenle birinin uçtuğunu bağırmamak da nezaket gereğidir. Takdir yetkisi onlara, başkaları fark etmeden ilkin düzeltme şansı verir.
Güvenlik açıklarının bildirilmesi, detayları, geliştiriciler bir düzeltme uygulama şansı bulamadan bilgiden yararlanacak kişilerden gizlice uzak meblağ. Sadece, raporlama süreci kafa karıştırıcı olduğunda yada alıcı cevap vermiyor benzer biçimde görünüyorsa, çoğu zaman ekibi harekete geçmeye zorlamak amacıyla, güvenlik açıkları bir düzeltme yapılmadan ilkin her insana açık hale gelir.
Bir gizlilik araştırmacısı ve araştırmacı gazeteci olan Janine Romer, birçok insanoğlunun ilkin gizli saklı kontakt hatları denediğini ve peşinden güvenlik açıklarını bildirmek için Twitter’a geçtiğini gördüğünü söylemiş oldu.
“Benzer şeyler, kimi zaman bir şeylere dikkat çekmenin tek yolunun yalnız insanlara tweet atmak olduğu Bitcoin cüzdanlarında olur ki bu fena bir şeydir. İşler bu şekilde ele alınmamalı, ”dedi Decrypt. “Ek olarak vakaları hususi olarak bildirmek mümkün olmalı ve halka açık bir şov yapmak zorunda kalmamalı. Fakat sonrasında, kimse hususi olarak yanıt vermediği için insanları halka açık bir şov halletmeye teşvik ediyor.”
Ocak ayında, Omnia Protokolü’nün kurucu ortağı Alex Lupascu, Twitter’da kendisinin ve ekibinin MetaMask’ta “eleştiri bir gizlilik açığı” bulduğunu ve bir saldırganın bunu iyi mi kullanabileceğini açıklayan bir blog yazısına bağlantı verdiğini söylemiş oldu.
MetaMask ile çalışan bir güvenlik araştırmacısı olan Harry Denley, ekibin bilgilendirilip bilgilendirilmediğini yada bunun üstünde çalıştıklarını söyleyip söylemediğini sormak için cevap verdi. Lupascu, aldıklarını, sadece raporunu ilk kez beş ay ilkin hazırladığını ve güvenlik açığının hâlâ istismar edilebilir durumda bulunduğunu söylemiş oldu.
Sonunda MetaMask kurucu ortağı Dan Finlay ağırlığını koydu.
Twitter’da “Evet, sanırım bu mevzu uzun süreden beri yaygın olarak biliniyor, bu yüzden bir izahat süresinin geçerli bulunduğunu düşünmüyorum” diye yazdı. “Alex, daha erken ele almadığımız için bizi aramakta haklı. Şimdi üstünde çalışmaya başlıyor. Pantolonunu tekmelediği için teşekkür etti ve buna ihtiyacımız olduğundan üzgünüm. ”
Yazılım cüzdanlarını güvenle kullanma
Birkaç ay sonrasında, yukarıda bahsedilen hata ödül programı başlatıldı. Tüm MetaMask güvenlik açığı raporları ele alınmamış benzer biçimde değil. Web3 güvenlik şirketi Halborn Security, Haziran ayında MetaMask kullanıcılarını etkileyebilecek bir güvenlik açığı bildirdi ve bunun için MetaMask Twitter hesabından bir ipucu aldı.
Halborn’un baş işletme görevlisi David Schwed, MetaMask ekibini duyarlı bulduğunu söylemiş oldu. Güvenlik açığını ele aldılar ve düzelttiler. Buna karşın, kullananların bir yazılım cüzdanında mühim oranda para tutma mevzusunda dikkatli olmaları icap ettiğini söylemiş oldu.
“MetaMask’ta kesinlikle bir çekim yapmam. MetaMask şu anda belirli bir amaca hizmet ediyor. Şimdi bir organizasyon olsaydım, MetaMask’ta yüz milyonlarca doları saklamazdım fakat muhtemelen herhangi bir cüzdanda saklamazdım” dedi. “Eldeki varlıklarımı ve kendi kendini korumayı çeşitlendirir ve riskimi yönetmek için öteki güvenlik uygulamalarını kullanırdım.”
Ona gore, yazılım cüzdanlarını kullanmanın en güvenli ve görevli yolu, hususi anahtarları bir donanım güvenlik modülünde yada HSM’de tutmaktır. En popüler donanım cüzdanlarından ikisi, kriptoda da bilinmiş olduğu benzer biçimde, Ledger ve Trezor’u ihtiva eder.
Schwed, “Günün sonunda, aslına bakarsak hususi anahtarlarımı saklayan şey bu ve işlemlerin imzalandığı yer burası,” dedi. “Ve senin [browser] cüzdan hakkaten yalnız zincire gösterim yapmak ve işlemi oluşturmak için bir mekanizmadır.”
Arayı kapama
Problem şu ki, hepimiz tarayıcı uzantılı cüzdanları bu şekilde kullanmaz. Sadece hem geliştiricilere uygulamalarında güvenliği iyi mi oluşturacakları mevzusunda daha iyi rehberlik sağlayarak hem de kullanıcılara fonlarını iyi mi güvende tutacaklarını öğreterek bu problemi çözmeye yönelik çabalar var.
İşte burada CryptoCurrency Sertifikasyon Konsorsiyumu yada C4 devreye giriyor. Bitcoin ve Ethereum ustalaşmış sertifikalarını yaratan aynı organizasyon. Keyifli gerçek: Ethereum yaratıcısı Vitalik Buterin, Ethereum’u buluş etmeden ilkin Sertifikalı Bitcoin Ustalaşmış sınavının yazılmasına destek oldu.
C4’ün yönetici direktörü Jessica Levesque, yeni kripto benimseyenler için hala büyük bir informasyon boşluğu bulunduğunu söylemiş oldu.
“Bunun birazcık ürkütücü yanı, uzun süredir kripto ile uğraşan insanların muhtemelen, MetaMask yada herhangi bir sıcak cüzdanda oldukca fazla para tutmamanız gerektiği oldukça açık. Kaldır şunu,” dedi Decrypt. “Fakat çoğumuz, ilk başladığımızda bunu bilmiyorduk.”
Öte taraftan, açık kaynak projelerinin kodları bağımsız araştırmacılar tarafınca incelenmek suretiyle hazır olduğundan daha güvenli olduğuna dair yaygın bir varsayım var.
Aslen, Çarşamba günü, Twitter’da fubuloubu’yu kullanan bir geliştirici, Solana cüzdan hackinin ışığında, “kriptoda açık kaynak koduna haiz olmamak sorumsuzca” diyerek büyük ilgi görmüş oldu.
Armanino’nun blok zinciri ve dijital varlık uygulamasını yöneten ve C4’ün CryptoCurrency Güvenlik Standart Komitesi’nde yer edinen Noah Buxton, daha ufak projelerin düşük görünürlüğünün yada mahalli tokenlerde hata ödüllerini ödeme tekliflerinin, araştırmacıların zamanlarını onlara bakarak harcamalarını engelleyebileceğini söylemiş oldu. .
“Açık kaynakta, geliştiricilerin dikkati büyük seviyede fena şöhret yada bir miktar para kazanma tarafınca yönlendiriliyor” dedi. “Oldukça azca likidite varken, yönetim belirtecinin hiçbir kıymeti yokken ve ekip bir ödül için yönetim belirtecinde size ödeme yapmak istiyorken niçin yeni bir merkezi olmayan borsada hata aramak için süre harcıyorsunuz? Başka bir katman 1’de Ethereum’da süre geçirmeyi yeğlerim. ”