MetaMask avviser at de har sendt en mye delt on-chain-melding som tilsynelatende gjorde narr av Jaredfromsubway, Ethereum MEV-operatøren som nylig mistet $ 15 millioner i et honeypot-angrep.
Lommebokleverandøren presiserte at meldingen kom fra et lignende Ethereum Name Service (ENS)-navn og ikke fra noen av deres offisielle adresser. Forvekslingen avdekket en svakhet i hvordan ENS-navn vises på de fleste plattformer.
ENS-imitasjon bak MetaMask-navneforvirring
De fleste plattformer gjør ENS-håndtak om til små bokstaver før de vises. Denne konvensjonen skjuler en viktig forskjell. “MetaMask.eth” med store bokstaver og den ekte “metamask.eth” ser identiske ut for de fleste brukere. Likevel peker de to navnene til helt ulike adresser on-chain.
Imitasjonsnavnet avviste Jaredfromsubways juridiske trussel og mente at søksmålet ikke ville holde i retten. MetaMask bekreftet på X at de ikke hadde noe med meldingen å gjøre.
MetaMask forklarer sin rolle etter Jaredfromsubway-angrepet
Jaredfromsubway hadde allerede tilbudt angriperen en white hat-avtale om å beholde 50 % med en frist på 48 timer. Han truet med rettslige skritt dersom midlene ikke ble tilbakeført. Saken om Ethereum MEV bot-uttaket fikk mye oppmerksomhet i DeFi-fellesskapet. Denne synligheten gjorde hendelsen til et attraktivt mål for imitatører.
Angriperen har ikke vist tegn til å akseptere avtalen. On-chain-data viser at $ 5,1 millioner av de totalt $ 7,5 millioner som ble stjålet, allerede er sendt til Tornado Cash. Midlene ble delt opp i 20 transaksjoner på 100 ETH hver, totalt 2000 ETH. Angriperen vekslet også de resterende 1422 ETH til $ 2,44 millioner i DAI, ifølge en blokkjede-analytiker.
MEV bot honeypot-angrepet aktualiserte nye spørsmål om risikoen MEV-operatører møter i et konkurransepreget miljø. MetaMask-imitasjonen introduserer imidlertid en separat utfordring som ikke handler om MEV-mekanismer. Den viser til en svakhet i navnesystemet som enhver Ethereum-bruker kan oppleve.
ENS-designfeil gjør Ethereum-brukere sårbare
ENS-navn følger en normaliseringsstandard som gjør om alle store bokstaver til små. Denne prosessen gjør at navn er store/små-bokstav-uavhengige når de vises, men registreringen skiller fortsatt mellom ulike kombinasjoner. En ondsinnet aktør som registrerer “MetaMask.eth” får dermed et teknisk gyldig ENS-navn med tilsvarende rettighet.
ENS blokkerer ikke registrering av navn som kun skiller seg fra eksisterende med bruk av store og små bokstaver. Trusselaktører kan registrere slike imitasjonsnavn i forkant og ta dem i bruk når store hendelser oppstår. Den bredere bølgen av kryptohacking i juni har allerede vist lignende sosial manipulasjon knyttet til offentlige hendelser.
Et bredere mønster i DeFi-sikkerhet
Samtidig er crypto-sikkerhet på ledelsesnivå hovedsakelig rettet mot kryptografiske standarder. Sårbarheter i navnevisning faller stort sett utenfor dette reguleringsområdet, og overlater ansvaret til utviklere og lommebokleverandører.
MetaMask-hendelsen følger et mønster som er synlig over hele DeFi-området. Angripere utnytter gjentatte ganger forskjellen mellom det grensesnittet viser og det protokollene faktisk gjennomfører. Tap i DeFi utlånsprotokoller illustrerer den samme problematikken på strukturelt nivå. Inntil bransjen lukker disse hullene, vil imitasjon gjennom displaylaget fortsette å være en lavkost, høy avkastning-angrepsmetode.
