Ethereum-кошелёк MetaMask с децентрализованным приложением (dApp) для браузеров со 2 ноября переходит на новое postMessage API. dApp больше не будет автоматически подгружать библиотеку web3, обеспечивающую взаимодействие с сетью эфира, из-за обнаруженной недавно уязвимости в защите конфиденциальных данных.

Децентрализованное приложение MetaMask работает как расширение для браузера, позволяющее пользователям получать доступ к распределённой сети. С подключённым расширением можно открыть свою учётную запись в блокчейне Ethereum и проводить транзакции. Нынешнее поколение децентрализованных приложений для браузеров имеет уязвимость по части хранения конфиденциальных пользовательских данных. Вредоносные программы могут сканировать встроенные в веб-страницу объекты и отслеживать владельцев кошельков Ethereum, даже если расширение отключено. Как только пользователь снова активирует расширение, злоумышленники увидят адреса кошельков жертвы, из которых они уже смогут получить доступ к истории транзакций, балансу и другой частной информации. Такой вид кибератак называется Fingerprinting, или отпечаток пальца, и делает пользователя уязвимым к целому ряду других атак. Так многие мошенники уже смогли провести фишинговые атаки, используя добытые незаконным путём данные.

Чтобы улучшить защиту пользовательских данных, децентрализованным приложениям для браузеров, включая MetaMask, imToken, Status, и Mist необходимо обновить их приложения. В частности, dApp перестанут поддерживать автоматическое внедрение веб-интерфейса Ethereum при загрузке страницы. Вместо этого, приложение будет отправлять запрос web3-провайдеру, который в свою очередь потребует подтверждение пользователя на установление соединения. Доступ к блокчейну Ethereum будет получен, только если система получит положительный ответ. В интерфейсе приложения появится больше кнопок для авторизации, одна из которых будет вызывать всплывающее окно с запросом на предоставление сайту доступа к информации об аккаунте пользователя. Сайты, для которых пользователь одобрит доступ, будут храниться в кэше. Вся эта система будет похожа на привычный запрос сайтов на доступ к микрофону или камере.