Изследователи по сигурността установиха, че всеки нападател може да остави собствениците на акаунти в OpenSea с празен баланс на криптовалута, като ги примами да кликнат върху злонамерен NFT артикул. С обем на транзакции от 3,4 милиарда долара, OpenSea е най-големият пазар в света за покупка, продажба и търг на незаменяеми токени (NFT) , други цифрови активи и колекционерски предмети.

Одобряване на заявки без преглед

Днес се появиха подробности относно проблем в платформата OpenSea, който позволява на хакерите да отвличат потребителски акаунти и да крадат свързаните с тях портфейли за криптовалута. Методът на атака е толкова прост, колкото създаването на NFT със злонамерен полезен товар и изчакване жертвата да „клъвне“ на стръвта и да се опари. Множество потребители съобщиха за празни портфейли за криптовалута, след като получиха подаръци на пазара OpenSea, маркетингова тактика, известна като „airdropping“ и използвана за популяризиране на нови виртуални активи.

Привлечени от тези изпразнени сметки, изследователи от компанията за киберсигурност Check Point решават да разгледат по – отблизо как работи платформата и да проверят за уязвимости. Профилът в OpenSea изисква портфейл за криптовалута на трета страна от списък, който платформата поддържа. Един от най -популярните е MetaMask, който  изследователите са избрали за целта на проучването си. Комуникацията с портфейла възниква за всяко действие в акаунта, включително харесване на изкуство в системата, което задейства заявка за влизане в портфейла.

Платформата OpenSea позволява на всеки да продава цифрово изкуство, което може да бъде файлове с размер до 40 MB с някое от следните разширения: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Знаейки това, Check Point качили в системата OpenSea SVG изображение, което носи злонамерен JavaScript код. Когато щракнали върху него, за да се отвори в нов раздел, те забелязали, че файлът се изпълнява под поддомейна „storage.opensea.io“. Те също така добавили iFrame към SVG изображението, за да заредят HTML код, който да инжектира „window.ethereum“, необходим за отваряне на комуникация с портфейла Ethereum на жертвата.

Злоупотребата с функционалността на портфейла става чрез Ethereum RPC-API, който стартира комуникацията с MetaMask и отваря изскачащия прозорец за свързване с портфейла. След това нападателят  има нужда жертвата да взаимодейства с легитимния изскачащ прозорец, за да може да извършва действия от името на жертвата. Изследователите отбелязват, че е необходимо друго  изскачащо меню за подпис, за да може хакерът да получи криптовалутата в портфейла. Това обаче не е голям проблем, тъй като подобни заявки „често се появяват като системно известие“ и потребителите вероятно ще одобрят транзакцията, без да прочетат съобщението.

В днешен доклад изследователите на Check Point обобщиха атаката, както следва:

• Хакерът създава и подарява злонамерен NFT на жертва Жертвата преглежда злонамерения NFT, задействайки изскачащ прозорец от домейна за съхранение на – OpenSea, като иска връзка с портфейла на криптовалутата на жертвата
• Жертвата щраква, за да свърже портфейла си и да извърши действието върху подарения NFT, като по този начин позволява достъп до портфейла на жертвата„
• Хакерът може да получи парите в портфейла, като задейства допълнителен изскачащ прозорец, изпратен също от домейна за съхранение на OpenSea. Жертвата вероятно ще кликне върху изскачащия прозорец, без да прочете бележката, която описва транзакцията.

Изследователите на Check Point информираха OpenSea за своите констатации на 26 септември. Двете страни си сътрудничиха, за да разрешат проблема и OpenSea предложи решение за по -малко от час след  разкриването. От OpenSea казват, че не могат да идентифицират случаи, в които нападателите са използвали тази уязвимост, но продължават да повишават осведомеността и да обучават общността относно най -добрите практики за сигурност и как да забележат измами и опити за фишинг.