Hechos clave:
-
La versión de navegador de Metamask podía usarse en otros sitios sin que el usuario lo sepa.
-
No hubo afectados por la vulnerabilidad, y los desarrolladores ya la arreglaron.
La wallet de Ethereum, Metamask, anunció el descubrimiento y reparación de una vulnerabilidad que podría haber costado caro a sus usuarios. El hallazgo fue de la organización United Global Whitehat Security Team (UGWST), que recibió una recompensa de USD 120.000 de los desarrolladores del monedero.
De acuerdo con una publicación de Metamask en Medium, no hubo usuarios afectados por esta vulnerabilidad, que adoptaba el método clickjacking o «secuestro de clics». La estrategia consiste en camuflar códigos maliciosos en un sitio para que el usuario cliquee en ellos sin darse cuenta. Por ejemplo, si caes en el clickjacking, al dar clic en «Reproducir» en un video podrías estar confiriendo accesos a tus fondos en una wallet.
Además, Metamask informó que su equipo de desarrolladores ya arregló el problema, que solo afectaba a su extensión de navegador y no a la aplicación para teléfonos móviles.
Según lo detallado en el artículo, la vulnerabilidad daba la posibilidad de ejecutar Metamask como iframe (es decir, como un recuadro dentro de otro sitio web) pero con opacidad en cero, de modo que no sea visible. Por lo tanto, el usuario podría no advertir que su wallet estaba abierta mientras navegaba en otro sitio aparentemente no relacionado con ella.
De esta manera, los atacantes podrían haber recolectado información privada sobre las cuentas, o incluso engañar a los usuarios para que aprueben transacciones de fondos de forma involuntaria.
Precisamente, lo que UGWST advirtió a los desarrolladores de Metamask es que, bajo ciertas circunstancias, podían hacer que la wallet funcionara como iframe. Por lo tanto, esto podría ser explotado por hackers para robar las cuentas o fondos de otras personas.
Para prevenir este tipo de prácticas maliciosas, Metamask recomendó a sus usuarios actualizar la aplicación y siempre usar la última versión disponible. En la actualidad, es la versión 10.14.6. Recientemente, además, la compañía había lanzado un soporte para víctimas de estafas que está disponible para todos sus usuarios, como reportó CriptoNoticias.
Descubridores de errores pueden ganar recompensas
Entregar recompensas en dinero a quienes colaboran en descubrir errores o vulnerabilidades en códigos no es una excepción que ha hecho Metamask en esta oportunidad. Por el contrario, se trata de una práctica frecuente.
Recientemente, CriptoNoticias informó sobre un programa de la Fundación Ethereum para quienes descubren fallas en la red. En la última edición, la cuarta del año, se ofrecían recompensas de hasta USD 250.000.
UGWST había colaborado con otras empresas antes
En su sitio web, UGWST se presenta como «un grupo privado de investigadores con experiencia y altamente calificados en seguridad» que trabajan con varias empresas de todo el mundo para mejorar la seguridad de sus aplicaciones, redes y códigos.
La finalidad principal de esta organización es descubrir posibles amenazas de seguridad antes que los hackers lo hagan. Sus principales miembros son René Kroka, José Almeida, Edward Barnhill, Jay Rahman y Justin Ash.
Entre las compañías del mundo de las criptomonedas que UGWST ha auditado destacan, además de Metamask, OpenSea, Crypto.com, Wormhole y Lido. También hay otros del rubro de software y tecnología en general, como Microsoft, Apple, Steam y Reddit.
