Image default
News

Metamask descubre y elimina error que permitía robo de criptomonedas

Hechos clave:
  • La versión de navegador de Metamask podía usarse en otros sitios sin que el usuario lo sepa.

  • No hubo afectados por la vulnerabilidad, y los desarrolladores ya la arreglaron.

La pockets de Ethereum, Metamask, anunció el descubrimiento y reparación de una vulnerabilidad que podría haber costado caro a sus usuarios. El hallazgo fue de la organización United International Whitehat Safety Staff (UGWST), que recibió una recompensa de USD 120.000 de los desarrolladores del monedero.

De acuerdo con una publicación de Metamask en Medium, no hubo usuarios afectados por esta vulnerabilidad, que adoptaba el método clickjacking o «secuestro de clics». La estrategia consiste en camuflar códigos maliciosos en un sitio para que el usuario cliquee en ellos sin darse cuenta. Por ejemplo, si caes en el clickjacking, al dar clic en «Reproducir» en un video podrías estar confiriendo accesos a tus fondos en una pockets.

Además, Metamask informó que su equipo de desarrolladores ya arregló el problema, que solo afectaba a su extensión de navegador y no a la aplicación para teléfonos móviles.

Metamask publicó su agradecimiento a UGWST por descubrir una vulnerabilidad en la pockets. Fuente: @MetaMask/ Twitter

Según lo detallado en el artículo, la vulnerabilidad daba la posibilidad de ejecutar Metamask como iframe (es decir, como un recuadro dentro de otro sitio internet) pero con opacidad en cero, de modo que no sea seen. Por lo tanto, el usuario podría no advertir que su pockets estaba abierta mientras navegaba en otro sitio aparentemente no relacionado con ella.

De esta manera, los atacantes podrían haber recolectado información privada sobre las cuentas, o incluso engañar a los usuarios para que aprueben transacciones de fondos de forma involuntaria.

Precisamente, lo que UGWST advirtió a los desarrolladores de Metamask es que, bajo ciertas circunstancias, podían hacer que la pockets funcionara como iframe. Por lo tanto, esto podría ser explotado por hackers para robar las cuentas o fondos de otras personas.

Para prevenir este tipo de prácticas maliciosas, Metamask recomendó a sus usuarios actualizar la aplicación y siempre usar la última versión disponible. En la actualidad, es la versión 10.14.6. Recientemente, además, la compañía había lanzado un soporte para víctimas de estafas que está disponible para todos sus usuarios, como reportó CriptoNoticias.

Descubridores de errores pueden ganar recompensas

Entregar recompensas en dinero a quienes colaboran en descubrir errores o vulnerabilidades en códigos no es una excepción que ha hecho Metamask en esta oportunidad. Por el contrario, se trata de una práctica frecuente.

Recientemente, CriptoNoticias informó sobre un programa de la Fundación Ethereum para quienes descubren fallas en la crimson. En la última edición, la cuarta del año, se ofrecían recompensas de hasta USD 250.000.

UGWST había colaborado con otras empresas antes

En su sitio internet, UGWST se presenta como «un grupo privado de investigadores con experiencia y altamente calificados en seguridad» que trabajan con varias empresas de todo el mundo para mejorar la seguridad de sus aplicaciones, redes y códigos.

La finalidad principal de esta organización es descubrir posibles amenazas de seguridad antes que los hackers lo hagan. Sus principales miembros son René Kroka, José Almeida, Edward Barnhill, Jay Rahman y Justin Ash.

Entre las compañías del mundo de las criptomonedas que UGWST ha auditado destacan, además de Metamask, OpenSea, Crypto.com, Wormhole y Lido. También hay otros del rubro de software program y tecnología en basic, como Microsoft, Apple, Steam y Reddit.

Related posts

¡Datos on-chain revelan la identidad de Satoshi Nakamoto!

admin

Ethereum arranca la semana con el pie izquierdo; así ha cambiado su valor en el último día

admin

Mánager de J Balvin recibe bitcoins por su casa valorada en USD 18 millones

admin

Leave a Comment