Kritická chyba v OpenSea mohla hackerom umožniť ukradnúť kryptomenu z peňaženiek

Teraz opravená kritická zraniteľnosť v OpenSea, najväčšom svetovom trhu s nezameniteľnými tokenmi (NFT), mohla byť zneužitá zlomyseľnými aktérmi na odčerpanie prostriedkov z kryptomeny od obete odoslaním špeciálne vytvoreného tokenu, čím by sa otvoril nový vektor útoku pre vykorisťovanie.

Zistenia pochádzajú od spoločnosti Check Point Research, ktorá sa zaoberá kybernetickou bezpečnosťou, ktorá začala vyšetrovanie platformy po verejných správach o ukradnutých kryptomenových peňaženkách, ktoré spustili bezplatné NFT. Problémy boli opravené za menej ako jednu hodinu zodpovedného zverejnenia 26. septembra 2021.

„Neopravené, zraniteľné miesta by mohli hackerom umožniť ukradnúť používateľské účty a ukradnúť celé kryptomenové peňaženky vytvorením škodlivých NFT,“ uviedli výskumníci z Check Point.

Ako naznačuje názov, NFT sú jedinečné digitálne aktíva, ako sú fotografie, videá, zvuk a ďalšie položky, ktoré možno predávať a obchodovať na blockchaine, pričom sa táto technológia používa ako certifikát pravosti na vytvorenie overeného a verejného dôkazu o vlastníctve.

Modus operandi útoku spočíva v odoslaní škodlivého NFT obetiam, ktoré po kliknutí vyústi do scenára, v ktorom môžu byť nečestné transakcie uľahčené prostredníctvom poskytovateľa peňaženky tretej strany jednoduchým poskytnutím podpisu peňaženky na pripojenie ich peňaženiek a vykonanie akcií na v mene cieľov. “Používatelia by si mali byť dobre vedomí toho, čo podpisujú na OpenSea, ako aj na iných platformách NFT, a či to koreluje s očakávanými akciami,” uviedli vedci.

OpenSea uviedla, že neidentifikovala žiadne prípady, kedy bola táto zraniteľnosť zneužitá vo voľnej prírode, ale dodala, že spolupracuje so službami peňaženiek tretích strán, aby „pomohla používateľom lepšie identifikovať škodlivé žiadosti o podpis, ako aj ďalšie iniciatívy, ktoré používateľom pomôžu prekaziť podvody a phishingové útoky. s vyššou účinnosťou.”

“Inovácia blockchainu prebieha rýchlo a NFT tu zostanú. Vzhľadom na obrovské tempo inovácií existuje inherentná výzva v bezpečnej integrácii softvérových aplikácií a kryptotrhov,” povedal Oded Vanunu, vedúci výskumu zraniteľnosti produktov v Check Point. “Zlí herci vedia, že práve teraz majú otvorené okno, ktoré môžu využiť, pričom adopcia spotrebiteľmi stúpa, pričom bezpečnostné opatrenia v tomto priestore ešte musia dobehnúť.”