La administración de MetaMask ha tenido que desmentir un nuevo bulo que ponían en duda la seguridad de su billetera. Este «exploit» no afectaría unicamente al software de MetaMask, si no al de muchas otras plataformas que ofrecen servicios de almacenamiento de activos digitales.
MetaMask ofrece uno de los softwares para almacenamiento de criptomonedas más utilizado en la actualidad. La plataforma permite el almacenamiento a través de un sofisticado y pulido sistema de billeteras, donde tambiñen podremos realizar compras de activos directamente, en caso de que lo deseásemos. Con los años el número de clientes de MetaMask ha ido aumentando, superando los más de 30 millones en el año 2022.
Debido a la popularidad de los servicios de MetaMask, los intentos por burlar su seguridad no han sido pocos a lo largo de los años. Si bien es cierto, MetaMask ofrece una seguridad considerablemente alta contra los hackers, no es un sistema perfecto. En marzo de este mismo año, se puedo solventar un problema de privacidad que afectaba directamente a todos los usuarios de la plataforma.
Los rumores y bulos que afectan a MetaMask también son cuantiosos y estos surgen asiduamente. El día de ayer se popularizó un supuesto «exploit» que afectaría no solo a los servicios de MetaMask, si no a muchos otros que ofrecen servicios de billetera. Según el usuario de Twitter Tayvano_, se habría descubierto una brecha de seguridad que habría sido utilizada por usuarios malintencionados para drenar más de 5.000 ETH desde diciembre del 2022. Los activos habrías sido obtenidos a través de cadenas de bloques diferentes y se habrían logrado robar incluso NFTs de gran valor.
Según explica Tayvano la fuente del problema es indeterminada, pero los atacante suelen lograr acceso a las billeteras de los usuarios más antiguos, creadas entre 2014 y 2022. Parece que el problema radica en contar unicamente con una frase de recuperación secreta/clave privada para varias billeteras/direcciones a lo largo de los años.
Tayvano supone que un grupo de hackers organizados han obtenido una grandísima cantidad de datos de usuarios de diferentes cadenas. A través de la fuerza bruta, estos atacantes estarían obteniendo claves privadas y de recuperación de los usuarios con menor seguridad. Debido a que muchos utilizan la misma clave para diferentes sitios, esta clave habría sido reutilizada para hacer el drenado de activos de forma más eficiente.
La respuesta de MetaMask
Tayvano explicó que una de las plataformas que se podía haber visto afectada por este exploit es MetaMask. Los atacantes habrían logrado drenar activos de sus direcciones, y no solo eso, si no que usarían MetaMask para intercambiar los activos a ETH antes de enviarlos a nuevas direcciones y perpetrar el robo final.
El hilo de Tayvano fue viralizándose con el paso de las horas hasta llegar a la propia administración de MetaMask, la cual no tardaría en responder.
MetaMask fue conciso con su primera respuesta a través de Twitter:
«Informes recientes sobre el hilo de @tayvano han afirmado incorrectamente que una operación masiva de drenaje de billetera es el resultado de una vulnerabilidad de MetaMask. Esto es incorrecto. Este no es un exploit específico de MetaMask.»
La administración explica que los datos ofrecidos son inexactos, ya que estos muestras que se han robado 5.000 ETH de direcciones en 11 cadenas de bloques diferentes, pero no explícitamente estas direcciones provienen de MetaMask.
MetaMask ha utilizado el comunicado para anunciar que están investigando esta case de exploits para tratar de erradicarlos definitivamente. Para lograr este cometido, el equipo de seguridad de la plataforma estaría trabajando con otros agentes relevantes en es espacio de las billeteras web3.
Esta no es la primera ocasión en la que MetaMask decide desmentir rumores negativos acerca de sus servicios. A finales de marzo de este años, la administración desmintió un supuesto «airdrop» que se realizaría en su plataforma a finales de ese mismo mes.
Seguir leyendo acerca del motivo por el que Intel ha dejado cesado su producción de chipset enfocado en la minería, puede parecerte interesante.