Kritieke beveiligingsproblemen op de OpenSea NFT-marktplaats waardoor aanvallers cryptocurrency-portemonneefondsen konden stelen, zijn verholpen.
NFT's, ook bekend als niet-fungible tokens, zijn digitale activa die kunnen worden verkocht en verhandeld op de blockchain. Terwijl sommige NFT's — van een pixelcartoon tot een populaire meme — een verkoopprijs van miljoenen dollars kunnen bereiken, heeft de populariteit van dit fenomeen ook een nieuwe aanvalsvector voor uitbuiting gecreëerd.
Op woensdag zei het Check Point Research (CPR)-team dat fouten in de OpenSea NFT-marktplaats “hackers in staat hadden kunnen stellen gebruikersaccounts te kapen en volledige crypto-wallets van gebruikers te stelen door kwaadaardige NFT's te verzenden”.
Er is een onderzoek gestart nadat rapporten opdoken over kwaadaardige NFT's, gratis uitgezonden en gebruikt als kanalen voor diefstal van cryptocurrency en accountkaping.
De NFT zelf en de airdrop waren niet de oorzaak van het probleem. In plaats daarvan, als een NFT eenmaal was geschonken aan een potentieel slachtoffer, zouden ze het bekijken – en dan zou er een pop-up verschijnen die om een handtekening vroeg om verbinding te maken met een portemonnee. Er zou dan een tweede handtekeningverzoek verschijnen, en indien geaccepteerd, kan aanvallers toegang krijgen tot de portemonnee, fondsen en meer van een onwetende gebruiker.
In het geval van OpenSea stelde de beveiligingsfout het team in staat een .SVG-bestand te uploaden met een kwaadaardige payload, die zou worden uitgevoerd onder het OpenSea-opslagsubdomein.
“In ons aanvalsscenario wordt de gebruiker gevraagd om met zijn portemonnee te tekenen nadat hij op een afbeelding heeft geklikt die hij van een derde partij heeft ontvangen. een aanbieding doen of een item bevoordelen”, zegt CPR. “Aangezien het transactie-operatiedomein echter van OpenSea zelf is, en aangezien dit een actie is die het slachtoffer gewoonlijk krijgt bij andere NFT-operaties, kan dit ertoe leiden dat ze de verbinding goedkeuren.”
De onderzoekers maakten hun bevindingen bekend. naar OpenSea op 26 september. Binnen minder dan een uur had de marktplaats de beveiligingsproblemen opgespoord en geverifieerd en een oplossing geïmplementeerd.
In een verklaring zei OpenSea:
“Beveiliging is van fundamenteel belang voor OpenSea. We waarderen het dat het CPR-team deze kwetsbaarheid onder onze aandacht heeft gebracht en met ons heeft samengewerkt terwijl we de zaak hebben onderzocht en een oplossing hebben geïmplementeerd binnen een uur nadat het onder onze aandacht werd gebracht.
Deze aanvallen zouden gebaseerd zijn op gebruikers die kwaadaardige activiteiten goedkeurden via een externe portemonnee-provider door hun portemonnee te koppelen en een handtekening te zetten voor de kwaadaardige transactie.”
OpenSea voegde eraan toe dat de organisatie geen enkel bewijs heeft gevonden voor uitbuiting in het wild.
Eerdere en gerelateerde berichtgeving
Leer alles over cryptohandel en NFT's in 11 uur zelfstudie voor slechts $30
Nieuw platform gebruikt NFT's als gateway voor digitaal rechtenbeheer
Kusama introduceert 'art legos': complexe programmeerbare NFT's
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 