Изследователи по сигурността установиха, че всеки нападател може да остави собствениците на акаунти в OpenSea с празен баланс на криптовалута, като ги примами да кликнат върху злонамерен NFT артикул. С обем на транзакции от 3,4 милиарда долара, OpenSea е най-големият пазар в света за покупка, продажба и търг на незаменяеми токени (NFT) , други цифрови активи и колекционерски предмети.

Одобряване на заявки без преглед

Днес се появиха подробности относно проблем в платформата OpenSea, който позволява на хакерите да отвличат потребителски акаунти и да крадат свързаните с тях портфейли за криптовалута. Методът на атака е толкова прост, колкото създаването на NFT със злонамерен полезен товар и изчакване жертвата да „клъвне“ на стръвта и да се опари. Множество потребители съобщиха за празни портфейли за криптовалута, след като получиха подаръци на пазара OpenSea, маркетингова тактика, известна като „airdropping“ и използвана за популяризиране на нови виртуални активи.

Привлечени от тези изпразнени сметки, изследователи от компанията за киберсигурност Check Point решават да разгледат по – отблизо как работи платформата и да проверят за уязвимости. Профилът в OpenSea изисква портфейл за криптовалута на трета страна от списък, който платформата поддържа. Един от най -популярните е MetaMask, който  изследователите са избрали за целта на проучването си. Комуникацията с портфейла възниква за всяко действие в акаунта, включително харесване на изкуство в системата, което задейства заявка за влизане в портфейла.

Платформата OpenSea позволява на всеки да продава цифрово изкуство, което може да бъде файлове с размер до 40 MB с някое от следните разширения: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Знаейки това, Check Point качили в системата OpenSea SVG изображение, което носи злонамерен JavaScript код. Когато щракнали върху него, за да се отвори в нов раздел, те забелязали, че файлът се изпълнява под поддомейна „storage.opensea.io“. Те също така добавили iFrame към SVG изображението, за да заредят HTML код, който да инжектира „window.ethereum“, необходим за отваряне на комуникация с портфейла Ethereum на жертвата.

Злоупотребата с функционалността на портфейла става чрез Ethereum RPC-API, който стартира комуникацията с MetaMask и отваря изскачащия прозорец за свързване с портфейла. След това нападателят  има нужда жертвата да взаимодейства с легитимния изскачащ прозорец, за да може да извършва действия от името на жертвата. Изследователите отбелязват, че е необходимо друго  изскачащо меню за подпис, за да може хакерът да получи криптовалутата в портфейла. Това обаче не е голям проблем, тъй като подобни заявки „често се появяват като системно известие“ и потребителите вероятно ще одобрят транзакцията, без да прочетат съобщението.

В днешен доклад изследователите на Check Point обобщиха атаката, както следва:

  • Хакерът създава и подарява злонамерен NFT на жертва Жертвата преглежда злонамерения NFT, задействайки изскачащ прозорец от домейна за съхранение на – OpenSea, като иска връзка с портфейла на криптовалутата на жертвата
  • Жертвата щраква, за да свърже портфейла си и да извърши действието върху подарения NFT, като по този начин позволява достъп до портфейла на жертвата„
  • Хакерът може да получи парите в портфейла, като задейства допълнителен изскачащ прозорец, изпратен също от домейна за съхранение на OpenSea. Жертвата вероятно ще кликне върху изскачащия прозорец, без да прочете бележката, която описва транзакцията.

 

Изследователите на Check Point информираха OpenSea за своите констатации на 26 септември. Двете страни си сътрудничиха, за да разрешат проблема и OpenSea предложи решение за по -малко от час след  разкриването. От OpenSea казват, че не могат да идентифицират случаи, в които нападателите са използвали тази уязвимост, но продължават да повишават осведомеността и да обучават общността относно най -добрите практики за сигурност и как да забележат измами и опити за фишинг.

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
24/12/2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи