世界で最も人気のある暗号通貨メタマスクは、災害である可能性のあるセキュリティホールにパッチを適用したと発表しました。

ありがたいことに、それはすぐにMetamaskに欠陥を知らせ、それを修正する方法を彼らに教えた「良いハッカー」によって最初に発見されました。 「ユナイテッドグローバルホワイトハットセキュリティチーム」（UGWST）という名前で呼ばれるこの組織は、脆弱性を発見したことに対して120,000ドルの報酬を請求することができました。

Metamaskは、この脆弱性の影響を受けるユーザーがいないことを示しています。 UGWSTはそれを発見した最初で唯一のようであり、彼らは発見したことをMetamaskと共有しただけです。

この戦略は、サイト上の悪意のあるコードをカモフラージュして、ユーザーが気付かないうちにクリックできるようにすることで構成されています。 たとえば、クリックジャッキングに陥った場合、動画で[再生]をクリックすると、ウォレットで資金へのアクセスを許可できます。

Metamask開発者はすぐにそれを修正しました...

ブラウザ拡張機能のユーザーだけが危険にさらされていましたが、これはMetamaskウォレットにアクセスするための最も一般的な方法です。 ハッカーは、Metamaskをiframe（つまり、別のWebサイト内のWebサイト）で起動し、不透明度を0％に設定する、つまり完全に透明なウィンドウで、ユーザーはそれが存在することを知らないことを示しました。 次に、ユーザーをだまして画面上の特定の場所をクリックさせ、トランザクションを確認する非表示のボタンを実際に押していることに気づかないようにします。

ポップアップ広告のように見えるかもしれませんが、それを閉じるための「X」は、実際には、たとえば、すべてのイーサリアムを誰かに送信することを確認するためのボタンです。

あなたが最新であることを確認してください...

デフォルトでは、Metamaskは自動的に更新されますが、安全であるかどうかを再確認してください。 Metamaskを開き、「settings」、「about」の順に移動し、バージョン10.14.6以降を使用していることを確認します。

これらの数値のいずれかが小さい場合は、更新する必要があります。 

善のためにハッキングすることは、有益なベンチャーになる可能性があります...

Metamaskがバグファインダーに$120,000を授与することは非常に一般的な方法であり、事実上、技術のすべての主要なプレーヤーが「バグ報奨金」を提供し、ハッカーに発見を利益に変えるための代替の完全に合法的な方法を提供します。 

これを発見した組織であるUGWSTは、Apple、Reddit、Microsoftも支援し、Crypto.comとOpenSeaのセキュリティ監査を実施しました。 

---------------
著者： オリバーレディング
シアトルのニュースデスク  / 暗号解読ニュース / Dimefiレビュー