Kritiske sikkerhetsproblemer på OpenSea NFT -markedet som gjorde at angriperne kunne stjele kryptokurrencylommebøker, har blitt lappet.
NFT-er, også kjent som ikke-soppbare tokens, er digitale eiendeler som kan selges og handles på blockchain. Mens noen NFT -er – fra en pixel -tegneserie til en populær meme – kan nå en salgspris på millioner av dollar, har populariteten til dette fenomenet også skapt en ny angrepsvektor for utnyttelse.
Onsdag sa Check Point Research (CPR) -teamet at feil på OpenSea NFT -markedet kunne ha tillatt “hackere å kapre brukerkontoer og stjele hele krypto -lommebøker av brukere ved å sende ondsinnede NFT -er.”
En undersøkelse ble satt i gang etter at det dukket opp rapporter om ondsinnede NFT -er som ble droppet gratis og ble brukt som ledninger for tyveri av kryptovaluta og kontokapring.
Selve NFT, og airdrop, var ikke kilden til problemet. I stedet, når en NFT hadde blitt begavet til et potensielt offer, ville de se det-og deretter ville en pop-up utløse og be om en signatur for å koble til en lommebok. En sekundær forespørsel om signaturforespørsel vil da vises, og hvis den godtas, kan den gi angriperne tilgang til en uvitende brukers lommebok, midler og mer.
I OpenSeas tilfelle tillot sikkerhetsfeilet teamet å laste opp en .SVG -fil som inneholder en ondsinnet nyttelast, som ville bli utført under OpenSea -lagringsunderdomenet.
“I vårt angrepsscenario blir brukeren bedt om å signere med lommeboken etter å ha klikket på et bilde mottatt fra en tredjepart, noe som er uventet atferd på OpenSea, siden det ikke er i samsvar med tjenester levert av OpenSea -plattformen, som å kjøpe en vare, gi et tilbud, eller favorisere en vare, “sier HLR. “Siden transaksjonsoperasjonsdomenet er fra OpenSea selv, og siden dette er en handling offeret vanligvis får i andre NFT -operasjoner, kan det føre til at de godkjenner forbindelsen.”
Forskerne avslørte sine funn til OpenSea 26. september. Innen mindre enn en time hadde markedet triaged og verifisert sikkerhetsproblemene og implementert en løsning.
I en uttalelse sa OpenSea:
“Sikkerhet er grunnleggende for OpenSea. Vi setter pris på at HLR -teamet gjør oss oppmerksom på denne sårbarheten og samarbeider med oss mens vi undersøkte saken og implementerte en løsning innen en time med at det ble gjort oppmerksom på oss.
Disse angrepene ville ha avhengig av at brukere godkjente ondsinnet aktivitet gjennom en tredjeparts lommebokleverandør ved å koble til lommeboken og gi en signatur for den ondsinnede transaksjonen. ”
OpenSea la til at organisasjonen ikke har funnet tegn til utnyttelse i naturen.
Tidligere og relatert dekning
Lær alt om kryptohandel og NFT-er på 11 timer med trening i tempo for bare $ 30
Ny plattform bruker NFT som en inngangsport for digital rettighetsforvaltning
Kusama introduserer 'art legos': Komplekse programmerbare NFT -er
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 