Търсене
Close this search box.

ОПАСНИ УЯЗВИМОСТИ В NFT ПЛАТФОРМАТА OpenSea

Изследователи по сигурността установиха, че всеки нападател може да остави собствениците на акаунти в OpenSea с празен баланс на криптовалута, като ги примами да кликнат върху злонамерен NFT артикул. С обем на транзакции от 3,4 милиарда долара, OpenSea е най-големият пазар в света за покупка, продажба и търг на незаменяеми токени (NFT) , други цифрови активи и колекционерски предмети.

Одобряване на заявки без преглед

Днес се появиха подробности относно проблем в платформата OpenSea, който позволява на хакерите да отвличат потребителски акаунти и да крадат свързаните с тях портфейли за криптовалута. Методът на атака е толкова прост, колкото създаването на NFT със злонамерен полезен товар и изчакване жертвата да „клъвне“ на стръвта и да се опари. Множество потребители съобщиха за празни портфейли за криптовалута, след като получиха подаръци на пазара OpenSea, маркетингова тактика, известна като „airdropping“ и използвана за популяризиране на нови виртуални активи.

Привлечени от тези изпразнени сметки, изследователи от компанията за киберсигурност Check Point решават да разгледат по – отблизо как работи платформата и да проверят за уязвимости. Профилът в OpenSea изисква портфейл за криптовалута на трета страна от списък, който платформата поддържа. Един от най -популярните е MetaMask, който  изследователите са избрали за целта на проучването си. Комуникацията с портфейла възниква за всяко действие в акаунта, включително харесване на изкуство в системата, което задейства заявка за влизане в портфейла.

Платформата OpenSea позволява на всеки да продава цифрово изкуство, което може да бъде файлове с размер до 40 MB с някое от следните разширения: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Знаейки това, Check Point качили в системата OpenSea SVG изображение, което носи злонамерен JavaScript код. Когато щракнали върху него, за да се отвори в нов раздел, те забелязали, че файлът се изпълнява под поддомейна „storage.opensea.io“. Те също така добавили iFrame към SVG изображението, за да заредят HTML код, който да инжектира „window.ethereum“, необходим за отваряне на комуникация с портфейла Ethereum на жертвата.

Злоупотребата с функционалността на портфейла става чрез Ethereum RPC-API, който стартира комуникацията с MetaMask и отваря изскачащия прозорец за свързване с портфейла. След това нападателят  има нужда жертвата да взаимодейства с легитимния изскачащ прозорец, за да може да извършва действия от името на жертвата. Изследователите отбелязват, че е необходимо друго  изскачащо меню за подпис, за да може хакерът да получи криптовалутата в портфейла. Това обаче не е голям проблем, тъй като подобни заявки „често се появяват като системно известие“ и потребителите вероятно ще одобрят транзакцията, без да прочетат съобщението.

В днешен доклад изследователите на Check Point обобщиха атаката, както следва:

  • Хакерът създава и подарява злонамерен NFT на жертва Жертвата преглежда злонамерения NFT, задействайки изскачащ прозорец от домейна за съхранение на – OpenSea, като иска връзка с портфейла на криптовалутата на жертвата
  • Жертвата щраква, за да свърже портфейла си и да извърши действието върху подарения NFT, като по този начин позволява достъп до портфейла на жертвата„
  • Хакерът може да получи парите в портфейла, като задейства допълнителен изскачащ прозорец, изпратен също от домейна за съхранение на OpenSea. Жертвата вероятно ще кликне върху изскачащия прозорец, без да прочете бележката, която описва транзакцията.

 

Изследователите на Check Point информираха OpenSea за своите констатации на 26 септември. Двете страни си сътрудничиха, за да разрешат проблема и OpenSea предложи решение за по -малко от час след  разкриването. От OpenSea казват, че не могат да идентифицират случаи, в които нападателите са използвали тази уязвимост, но продължават да повишават осведомеността и да обучават общността относно най -добрите практики за сигурност и как да забележат измами и опити за фишинг.

Източник: По материали от Интернет

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
Бъдете социални
Още по темата
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!