کیف پول متامسک (MetaMask)، یکی از پیشروترین کیف پول نرم افزاری رمزارزها که کاربران را قادر میسازد با کیف پول اتریوم (Ethereum) خود در مرورگرها تعامل داشته باشند، با هدف اجرای استانداردهای امنیتی درجه یک و بهرهگیری از کل اکوسیستم متن باز جاوا اسکریپت (Java Script) آماده شده است. ابزار جدید متامسک از توسعه دهندگان قرارداد هوشمند در برابر حملات فیشینگ یا سرقت محافظت میکند. این آخرین ابزار امنیتی متامسک برای محافظت از قراردادهای هوشمند در برابر حملات است.
در ۲۰ فوریه سال ۲۰۲۱ میلادی، بیش از ۵۰ توسعه دهنده قرارداد هوشمند ضربه بزرگی را به واسطه حملات سایبری متحمل شدند. این حمله زمانی اتفاق افتاد که کتابخانه هاردهت (HardHat) نامیک لبز (NomicLabs)، کتابخانهای که برای توسعه قرارداد هوشمند اتریوم استفاده میشود، با حمله فیشینگ معروف به “تایپو اسکواتینگ” مواجه شد. در حملههایی از این دست، مهاجمان منتظر فرصتهایی میمانند که کاربران، به طور اتفاقی، نام دامنه را اشتباه تایپ میکنند و در نتیجه به یک فضای مجازی با نامی مشابه نام دامنه اصلی هدایت میشوند. بنابراین مهاجمان دامنهای شبیه به آدرس یک وب سایت معتبر را خریداری میکنند تا به اندازه کافی واقعی به نظر برسد. اینگونه صفحه وب سایت همچون وب سایت اصلی و معتبر به نظر خواهد رسید اما کلاهبرداران از آن با نیت ناسالم استفاده خواهند کرد.
اما در مورد متامسک مهاجمان از یک نام دامنه زیبا استفاده نکردهاند. در عوض، آنها نامی را در NPM ثبت کردهاند که یک منبع اصلی و قابل اعتماد برای کتابخانههای جاوا اسکریپت متن باز به حساب میآید. نام مورد نظر برای استفاده از کتابخانه هاردهت به شکل “@ nomiclabs / hardhat-waffle” بوده است و مهاجمان نام “hardhat-waffle” را به ثبت رساندهاند که به اندازه نام بسته واقعی، قانونی به نظر میرسد. به احتمال بسیار زیاد، مهاجم منتظر بوده تا کاربران به اشتباه “hardhat-waffle” را به جای “@ nomiclabs / hardhat-waffle” تایپ کنند، تا اینگونه پس از نصب برنامه، اسکریپ مورد نظر مهاجمان اجرا شود و محتویات و پروندههای اعتباری کوبرنتس (Kubernetes) را به یک سرور دیگر بارگذاری کند. به همین منظور سرور متامسک با بکارگیری ویژگیهای امنیتی جدید خود به طور مداوم در تلاش است تا با چنین سرویسهای جعلیای که میخواهند اعتبار حساب کاربر را تخلیه کنند، مبارزه کند.
با این حال، این نوع حملات جدید نیستند. در سال ۲۰۱۸ نیز کو پی (Copay)، که یک کیف پول مشهور بیت کوین (Bitcoin) است، قربانی یک چنین حملهای شد و کلیدهای خصوصی اتریوم و بیت کوین کاربران به سرقت رفت.
در پی حادثه اخیر، هاردهت تیم متامسک را ترغیب کرده است تا ابزاری جدید به نام لاواموت (LavaMoat) را به مجموعه ابزارهای قدرتمند امنیتی خود بیافزاید تا اینگونه از توسعه دهندگان در برابر سرقت محافظت کند.
این ابزار ساده و سبک “@ lavamoat / allow-scripts” نام دارد. این برنامه توسعه دهندگان را قادر میسازد تا در صورت لزوم کدهای دورهای NMP خود را به صورت جداگانه توسعه دهند و در برابر کدهای مخرب در زنجیره تأمین نرم افزار مصون بمانند. بنابراین لازم خواهد بود که تمام توسعه دهندگان این ابزار جدید را نصب و پیکربندی آن را در سیستمهای توسعه خود انجام دهند.
اگر تمام توسعه دهندگانی که به اشتباه hardhat-waffle را نصب کرده بودند، @ lavamoat / allow-scripts را بر روی پروژههای خود پیکربندی کرده بودند، در برابر همه این حملات جاوا اسکریپتی مصون میماندند.