Kritiske sikkerhedsproblemer på OpenSea NFT -markedspladsen, der gjorde det muligt for angriberne at stjæle pengepungsmidler til kryptokurrency, er blevet lappet.
NFT'er, også kendt som ikke-fungible tokens, er digitale aktiver, der kan sælges og handles på blockchain. Mens nogle NFT'er – fra en pixel -tegneserie til en populær meme – kan nå en salgspris på millioner af dollars, har dette fænomens popularitet også skabt en ny angrebsvektor til udnyttelse.
Onsdag sagde Check Point Research (CPR) -teamet, at fejl på OpenSea NFT -markedet kunne have tilladt “hackere at kapre brugerkonti og stjæle hele krypto -tegnebøger af brugere ved at sende ondsindede NFT'er.”
Der blev iværksat en undersøgelse, efter at der dukkede op rapporter om ondsindede NFT'er, der blev droppet gratis og blev brugt som ledninger til tyveri af kryptokurrency og kontokapring.
Selve NFT og airdrop var ikke kilden til problemet. I stedet, når en NFT var blevet foræret til et potentielt offer, ville de se det-og derefter ville en pop-up udløse og anmode om en signatur for at oprette forbindelse til en tegnebog. En sekundær underskriftsanmodningsprompt vil derefter vises, og hvis den accepteres, kan den give angribere adgang til en ubevidst brugers tegnebog, midler og mere.
I OpenSeas tilfælde tillod sikkerhedsfejlen teamet at uploade en .SVG -fil, der indeholder en ondsindet nyttelast, som ville blive udført under OpenSea -lagerdomænet.
“I vores angrebsscenario bliver brugeren bedt om at underskrive med sin tegnebog efter at have klikket på et billede, der er modtaget fra en tredjepart, hvilket er uventet adfærd på OpenSea, da det ikke korrelerer med tjenester leveret af OpenSea -platformen, f.eks. At købe en vare, laver et tilbud eller favoriserer en vare, “siger CPR. “Da transaktionsoperationsdomænet imidlertid er fra OpenSea selv, og da dette er en handling, offeret normalt udfører i andre NFT -operationer, kan det få dem til at godkende forbindelsen.”
Forskerne afslørede deres resultater til OpenSea den 26. september. Inden for mindre end en time havde markedspladsen triaged og verificeret sikkerhedsproblemerne og implementeret en løsning.
I en erklæring sagde OpenSea:
“Sikkerhed er grundlæggende for OpenSea. Vi sætter pris på, at CPR -teamet gør opmærksom på denne sårbarhed og samarbejder med os, da vi undersøgte sagen og implementerede en løsning inden for en time, før det blev gjort opmærksom på os.
Disse angreb ville have været afhængige af, at brugere godkendte ondsindet aktivitet gennem en tredjeparts tegnebogsudbyder ved at forbinde deres tegnebog og give en underskrift for den ondsindede transaktion. ”
OpenSea tilføjede, at organisationen ikke har fundet tegn på udnyttelse i naturen.
Tidligere og beslægtet dækning
Lær alt om kryptohandel og NFT'er i 11 timers selvstændig træning for kun $ 30
Ny platform bruger NFT'er som en gateway til digital rettighedsstyring
Kusama introducerer 'art legos': Komplekse programmerbare NFT'er
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 