Изследователи по сигурността установиха, че всеки нападател може да остави собствениците на акаунти в OpenSea с празен баланс на криптовалута, като ги примами да кликнат върху злонамерен NFT артикул. С обем на транзакции от 3,4 милиарда долара, OpenSea е най-големият пазар в света за покупка, продажба и търг на незаменяеми токени (NFT) , други цифрови активи и колекционерски предмети.
Днес се появиха подробности относно проблем в платформата OpenSea, който позволява на хакерите да отвличат потребителски акаунти и да крадат свързаните с тях портфейли за криптовалута. Методът на атака е толкова прост, колкото създаването на NFT със злонамерен полезен товар и изчакване жертвата да „клъвне“ на стръвта и да се опари. Множество потребители съобщиха за празни портфейли за криптовалута, след като получиха подаръци на пазара OpenSea, маркетингова тактика, известна като „airdropping“ и използвана за популяризиране на нови виртуални активи.
Привлечени от тези изпразнени сметки, изследователи от компанията за киберсигурност Check Point решават да разгледат по – отблизо как работи платформата и да проверят за уязвимости. Профилът в OpenSea изисква портфейл за криптовалута на трета страна от списък, който платформата поддържа. Един от най -популярните е MetaMask, който изследователите са избрали за целта на проучването си. Комуникацията с портфейла възниква за всяко действие в акаунта, включително харесване на изкуство в системата, което задейства заявка за влизане в портфейла.
Платформата OpenSea позволява на всеки да продава цифрово изкуство, което може да бъде файлове с размер до 40 MB с някое от следните разширения: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Знаейки това, Check Point качили в системата OpenSea SVG изображение, което носи злонамерен JavaScript код. Когато щракнали върху него, за да се отвори в нов раздел, те забелязали, че файлът се изпълнява под поддомейна „storage.opensea.io“. Те също така добавили iFrame към SVG изображението, за да заредят HTML код, който да инжектира „window.ethereum“, необходим за отваряне на комуникация с портфейла Ethereum на жертвата.
Злоупотребата с функционалността на портфейла става чрез Ethereum RPC-API, който стартира комуникацията с MetaMask и отваря изскачащия прозорец за свързване с портфейла. След това нападателят има нужда жертвата да взаимодейства с легитимния изскачащ прозорец, за да може да извършва действия от името на жертвата. Изследователите отбелязват, че е необходимо друго изскачащо меню за подпис, за да може хакерът да получи криптовалутата в портфейла. Това обаче не е голям проблем, тъй като подобни заявки „често се появяват като системно известие“ и потребителите вероятно ще одобрят транзакцията, без да прочетат съобщението.
В днешен доклад изследователите на Check Point обобщиха атаката, както следва:
Изследователите на Check Point информираха OpenSea за своите констатации на 26 септември. Двете страни си сътрудничиха, за да разрешат проблема и OpenSea предложи решение за по -малко от час след разкриването. От OpenSea казват, че не могат да идентифицират случаи, в които нападателите са използвали тази уязвимост, но продължават да повишават осведомеността и да обучават общността относно най -добрите практики за сигурност и как да забележат измами и опити за фишинг.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.