ОПАСНИ УЯЗВИМОСТИ В NFT ПЛАТФОРМАТА OpenSea

Изследователи по сигурността установиха, че всеки нападател може да остави собствениците на акаунти в OpenSea с празен баланс на криптовалута, като ги примами да кликнат върху злонамерен NFT артикул. С обем на транзакции от 3,4 милиарда долара, OpenSea е най-големият пазар в света за покупка, продажба и търг на незаменяеми токени (NFT) , други цифрови активи и колекционерски предмети.

Одобряване на заявки без преглед

Днес се появиха подробности относно проблем в платформата OpenSea, който позволява на хакерите да отвличат потребителски акаунти и да крадат свързаните с тях портфейли за криптовалута. Методът на атака е толкова прост, колкото създаването на NFT със злонамерен полезен товар и изчакване жертвата да „клъвне“ на стръвта и да се опари. Множество потребители съобщиха за празни портфейли за криптовалута, след като получиха подаръци на пазара OpenSea, маркетингова тактика, известна като „airdropping“ и използвана за популяризиране на нови виртуални активи.

Привлечени от тези изпразнени сметки, изследователи от компанията за киберсигурност Check Point решават да разгледат по – отблизо как работи платформата и да проверят за уязвимости. Профилът в OpenSea изисква портфейл за криптовалута на трета страна от списък, който платформата поддържа. Един от най -популярните е MetaMask, който  изследователите са избрали за целта на проучването си. Комуникацията с портфейла възниква за всяко действие в акаунта, включително харесване на изкуство в системата, което задейства заявка за влизане в портфейла.

Платформата OpenSea позволява на всеки да продава цифрово изкуство, което може да бъде файлове с размер до 40 MB с някое от следните разширения: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Знаейки това, Check Point качили в системата OpenSea SVG изображение, което носи злонамерен JavaScript код. Когато щракнали върху него, за да се отвори в нов раздел, те забелязали, че файлът се изпълнява под поддомейна „storage.opensea.io“. Те също така добавили iFrame към SVG изображението, за да заредят HTML код, който да инжектира „window.ethereum“, необходим за отваряне на комуникация с портфейла Ethereum на жертвата.

Злоупотребата с функционалността на портфейла става чрез Ethereum RPC-API, който стартира комуникацията с MetaMask и отваря изскачащия прозорец за свързване с портфейла. След това нападателят  има нужда жертвата да взаимодейства с легитимния изскачащ прозорец, за да може да извършва действия от името на жертвата. Изследователите отбелязват, че е необходимо друго  изскачащо меню за подпис, за да може хакерът да получи криптовалутата в портфейла. Това обаче не е голям проблем, тъй като подобни заявки „често се появяват като системно известие“ и потребителите вероятно ще одобрят транзакцията, без да прочетат съобщението.

В днешен доклад изследователите на Check Point обобщиха атаката, както следва:

  • Хакерът създава и подарява злонамерен NFT на жертва Жертвата преглежда злонамерения NFT, задействайки изскачащ прозорец от домейна за съхранение на – OpenSea, като иска връзка с портфейла на криптовалутата на жертвата
  • Жертвата щраква, за да свърже портфейла си и да извърши действието върху подарения NFT, като по този начин позволява достъп до портфейла на жертвата„
  • Хакерът може да получи парите в портфейла, като задейства допълнителен изскачащ прозорец, изпратен също от домейна за съхранение на OpenSea. Жертвата вероятно ще кликне върху изскачащия прозорец, без да прочете бележката, която описва транзакцията.

 

Изследователите на Check Point информираха OpenSea за своите констатации на 26 септември. Двете страни си сътрудничиха, за да разрешат проблема и OpenSea предложи решение за по -малко от час след  разкриването. От OpenSea казват, че не могат да идентифицират случаи, в които нападателите са използвали тази уязвимост, но продължават да повишават осведомеността и да обучават общността относно най -добрите практики за сигурност и как да забележат измами и опити за фишинг.

Източник: По материали от Интернет

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
Бъдете социални
Още по темата
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
29/11/2023

DP World потвърждава кибера...

Международният логистичен гигант DP World потвърди,...
16/11/2023

Киберсигурност в търговията...

Краят на годината е изключително натоварено...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!