MetaMask har afvist at have sendt en bredt delt on-chain besked, der lignede en hån mod Jaredfromsubway, Ethereum MEV-operatøren som for nylig blev drænet for 15 millioner dollar i et honeypot-angreb.
Wallet-udbyderen præciserede, at beskeden kom fra et næsten identisk Ethereum Name Service (ENS) navn og ikke fra en af deres officielle adresser. Forvekslingen afslørede en designfejl i, hvordan ENS-navne vises på de fleste platforme.
ENS-efterligning bag MetaMask-navneforvirringen
På de fleste platforme omdannes ENS-brugernavne til små bogstaver, før de vises. Det skjuler en vigtig forskel. “MetaMask.eth” med store bogstaver og den rigtige “metamask.eth” ser ens ud for de fleste brugere. Alligevel peger de to navne på helt forskellige adresser on-chain.
Navne-efterligningen afviste Jaredfromsubways juridiske trussel og påstod, at et eventuelt søgsmål ikke ville holde i retten. MetaMask bekræftede på X, at de ikke havde noget med beskeden at gøre.
MetaMask præciserer sin rolle efter Jaredfromsubway-angrebet
Jaredfromsubway havde allerede tilbudt angriberen en 50%-white hat-aftale med en 48 timers deadline. Han truede med at gå rettens vej, hvis midlerne ikke blev returneret. Historien om Ethereum MEV bot-drænet fik stor opmærksomhed i DeFi-miljøet. Det gjorde hændelsen til et oplagt mål for efterlignere.
Angriberen viser ingen tegn på at acceptere aftalen. On-chain-data viser, at 5,1 millioner dollar af de stjålne 7,5 millioner allerede er sendt til Tornado Cash. Midlerne blev overført som 2.000 ETH fordelt på 20 transaktioner af 100 ETH hver. Resten – 1.422 ETH – blev forvandlet til 2,44 millioner DAI, ifølge en analytiker på blockchainen.
MEV bot honeypot-angrebet har givet nyt fokus på de risici, MEV-operatører står overfor i et konkurrencepræget miljø. Men MetaMask-efterligningen skaber en anden bekymring, som ikke har noget med MEV-mekanikken at gøre. Den viser en sårbarhed i navngivningen, som alle Ethereum-brugere kan blive udsat for.
ENS-designhullet gør Ethereum-brugere sårbare
ENS-navne følger en standard, hvor alle store bogstaver ændres til små. Dermed bliver navnene små/store-bogstavs-uafhængige, når de vises, mens registreringerne stadig skelner mellem forskellige kombinationer. Så en person, der har registreret “MetaMask.eth,” har et teknisk gyldigt ENS-navn og krav.
ENS forhindrer ikke registrering af navne, der kun adskiller sig fra eksisterende ved brug af store bogstaver. Ondsindede aktører kan derfor sikre sig lookalike-navne på forhånd og først bruge dem ved store begivenheder. Den bredere bølge af kryptoangreb i juni har allerede afsløret lignende social engineering-metoder i forbindelse med offentlige hændelser.
Et bredere mønster i DeFi-sikkerhed
Imens fokuserer indsatsen for krypto-sikkerhed på topniveau primært på kryptografiske standarder. Navneproblemer i brugerfladen falder stort set uden for dette område, så udviklere og wallet-udbydere selv må adressere sårbarheden.
MetaMask-hændelsen passer ind i et mønster, der ses på tværs af DeFi. Angribere udnytter konsekvent forskellen mellem det, grænseflader viser, og det, protokoller rent faktisk udfører. Tab på DeFi-udlånsprotokoller viser samme dynamik på et strukturelt niveau. Indtil branchen får lukket de huller, vil efterligning i navnefeltet fortsat være en billig – men effektiv – angrebsmetode.
