Publicidade
Economize: canal oficial do CT Ofertas no WhatsApp Entrar

MetaMask tem brechas que facilitam falhas de seguranças cometidas por usuários

Por| Editado por Claudio Yuge | 17 de Agosto de 2022 às 21h30

Link copiado!

marketing land
marketing land

A MetaMask é uma das carteiras de criptomoedas mais utilizadas no mundo. Ela pode ser utilizada para armazenar tokens das principais blockchains do ecossistema, tais como Ethereum, BNB, Solana e outros. Por ser umas das preferidas dos cripto investidores, tornou-se um dos maiores alvos dos cibercriminosos.

Após um ataque cibercriminoso é normal vermos os responsáveis pelas plataformas analisarem os projetos em busca de falhas. E o ideal é que essas vulnerabilidades sejam encontradas e solucionadas antes que um cibercriminoso possa se beneficiar da situação.

Em junho deste ano, Giorgi Khazaradze, CEO da plataforma cripto Aurox, revelou ao portal Decrypt que sua equipe descobriu uma falha chamada “inline frame” ou “iframe” que possibilita acrescentar um aplicativo descentralizado (dapp) camuflado numa página web.

Continua após a publicidade

Essa vulnerabilidade permite que um cibercriminoso possa desenvolver uma página falsa capaz de se conectar com a MetaMask, levando o usuário a associar sua carteira e sem perceber dar acesso aos seus criptoativos a algum agente mal-intencionado.

Khazaradze revelou que, no dia 28 de junho, ao descobrir a falha, entrou em contato com a equipe da MetaMask — e que foi orientado a publicar a descoberta no GitHub, mas ele não se sentiu confortável em fazer isso. Como não obteve uma resposta satisfatória, Khazarade foi até o portal de notícias Decrypt e relatou a descoberta e a negligência da MetaMask.

O Decrypt enviou a equipe de relações-públicas da MetaMask um e-mail descrevendo a vulnerabilidade que o time da Aurox encontrou. Herman Junge, que faz parte da equipe de segurança da plataforma de carteira, relatou ao Decrypt que a equipe de suporte nunca recomendou que uma vulnerabilidade de iframe fosse listada no GitHub.

“Na MetaMask, levamos relatos de iframe muito a sério e damos a devida atenção em nosso programa de caça a falhas [“bug bounty”] na HackerOne. Se um pesquisador de segurança enviar seu relatório usando outra ocorrência, o convidamos à HackerOne”, respondeu Junge por e-mail.

Junge também revelou não haver registros de mensagem no suporte da plataforma onde os membros da equipe de segurança recomendam que falhas e vulnerabilidades sejam publicadas no GitHub, uma espécie de "rede social para programadores". A MetaMask não reconheceu a suposta vulnerabilidade ou disse que iria investigar o problema.

Também em junho, a empresa de segurança Web3 Halborn Security, contactou a plataforma de carteira e divulgou uma falha que poderia afetar os utilizadores dos serviços da MetaMask.

David Schwed, diretor de operações da Halborn, revelou que foi respondido pela equipe da MetaMask, ele também explicou que rapidamente a vulnerabilidade foi resolvida e que os usuários devem ter cuidado ao armazenar valores muito altos de criptomoedas nesse tipo de plataforma. Para ele, um dos principais problemas para quem usa esse tipo de carteira é a falta de conhecimento técnico do usuário.

Continua após a publicidade

“Eu não tomaria riscos com a MetaMask. [A carteira] atende um propósito momentâneo. Agora, se eu fosse uma organização, eu não armazenaria centenas de milhões de dólares na MetaMask, disse ele.

Problemas envolvendo usuários da Metamask

A empresa de carteiras virtuais para criptomoedas MetaMask passou por diversas situações envolvendo falhas e vulnerabilidades, no entanto, às vezes a culpa é dos usuários que, como citado acima, têm pouco conhecimento técnico de como funciona a plataforma que está utilizando.

Continua após a publicidade

Um exemplo disso foi que usuários da MetaMask estavam guardando sua “senha mestra” no iCloud. Um cibercriminoso conseguiu acessar a conta Apple, e, pelo menos um deles, teve criptos roubadas por conta dessa situação e acabou perdendo cerca de US$ 655 mil (R$ 3 milhões).

Outro exemplo bastante comum envolvendo a MetaMask são as mensagens de golpes que se passam por falsos alertas de bloqueio da carteira digital, com o intuito de roubar as senhas das vítimas e, com isso, conseguir acesso à carteira, credenciais e criptomoedas das pessoas.

Quando clica no link enviado na mensagem, a vítima é direcionada para uma página que imita o site da MetaMask, sem perceber que está numa página falsa o usuário com medo de ser bloqueado, acaba divulgando os dados de acesso para o criminoso possibilitando a transferência dos seus ativos.

Continua após a publicidade

Nesses exemplos é possível perceber que geralmente os casos envolvendo a MetaMask está mais ligado a falhas do usuário do que da plataforma.

Como se proteger de golpes de criptomoedas e carteiras digitais

Os especialistas da Kaspersky recomendam os seguintes cuidados para aqueles que querem se proteger contra o roubo de carteiras digitais e criptomoedas, veja abaixo:

  • Procure por possíveis erros na escrita. Geralmente as páginas falsas possuem erros ortográficos importantes ou gramática desconexa. Leia os e-mails com atenção e desconfie de qualquer coisa suspeita;
  • Só clique em anexos de mensagens que você conhece o remetente. Os cibercriminosos geralmente usam vírus e malware como uma tática de phishing.
  • Confira a assinatura da mensagem. A falta de detalhes sobre o remetente ou como o usuário pode entrar em contato com uma empresa está geralmente ligado a ataques de phishing. Empresas legítimas sempre fornecem detalhes e dados de contato;
  • Se atente a mensagens urgentes ou ameaçadoras, esse tipo de tática é bastante utilizada em golpes envolvendo na internet. Fique esperto com possíveis ameaças de contas desativas ou de perda de benefícios;
  • Não compartilhe informações pessoais. Não fornecer informações pessoais ou confidenciais da empresa. A maioria das empresas nunca solicitará credenciais pessoais por e-mail, especialmente os bancos. Avaliar atentamente antes de revelar qualquer informação confidencial por e-mail.
Continua após a publicidade

Fonte: Decrypt