OpenSea hat Schwachstellen in seiner Plattform behoben, die es Hackern ermöglicht haben könnten, die Kryptos von jemandem zu stehlen, nachdem sie ihnen ein in böser Absicht erstelltes NFT gesendet haben. Das Problem wurde von der Sicherheitsfirma Check Point Research gefunden, die laut einem Blogbeitrag Tweets von Leuten bemerkte, die behaupteten, sie seien gehackt worden, nachdem sie NFTs beschenkt worden waren. Die Forscher sprachen mit einem der Personen, die sagten, dass sie angegriffen wurden, und fanden Schwachstellen, die belegen, dass ein Angriff auf diese Weise erfolgen könnte, und meldeten die Probleme an OpenSea. Die Sicherheitsfirma sagt, dass die NFT-Handelsplattform das Problem innerhalb einer Stunde behoben und mit Forschern zusammengearbeitet hat, um sicherzustellen, dass die Lösung funktioniert.
Obwohl es für OpenSea sicherlich kein guter Look ist, dass Angreifer möglicherweise ganze Brieftaschen leeren können, ging es nicht einfach darum, jemandem ein NFT zu schenken – der Exploit musste zuerst auf einige Eingabeaufforderungen klicken, einschließlich einer, die möglicherweise Transaktionsdetails enthalten. Während das Versenden eines NFT-Geschenks keine Interaktion Ihrerseits erfordert, waren die bösartigen NFTs harmlos, wenn sie nur ungesehen in einem OpenSea-Konto lagen.
:no_upscale()/cdn.vox-cdn.com /uploads/chorus_asset/file/22922471/Screen_Shot_2021_10_12_at_3.17.56_PM.png "OpenSea behebt Schwachstellen, die es Hackern ermöglichen könnten, Krypto mit bösartigen NFTs zu stehlen")
Die Übertragungsbestätigungsnachricht, die Benutzer möglicherweise sehen, während sie ein infiziertes NFT anzeigen. Bild: Check Point Research Die potenziell gefährliche Situation tritt auf, wenn das Bild allein angezeigt wird (indem Sie beispielsweise mit der rechten Maustaste darauf klicken und auf „In neuem Tab öffnen“ klicken). Für Benutzer mit einer installierten Krypto-Wallet-Browsererweiterung wie MetaMask wird ein Popup gestartet, in dem Sie aufgefordert werden, storage.opensea.io mit ihrer Wallet zu verbinden. Wenn das Ziel auf Ja klickt, könnten sich die Angreifer die Informationen der Brieftasche schnappen und ein weiteres Popup auslösen, in dem Sie aufgefordert werden, eine Übertragung von der Brieftasche des Opfers auf ihre eigene zu genehmigen. Wenn Sie nicht aufpassen oder nicht mitbekommen haben, was los ist, und die Überweisung bestätigt haben, können Sie alles in Ihrer Brieftasche verlieren.
OpenSea sagt in einer Erklärung, dass es keine Fälle von jemandem gefunden hat, der diese Art von Angriff tatsächlich durchführt – obwohl es immer noch unklar ist, was mit den Leuten passiert ist, die sagen, dass sie angegriffen wurden. Soweit ich feststellen konnte, gab es nur wenige Leute, die davon sprachen, gehackt zu werden, nachdem sie eine Geschenk-NFT erhalten hatten.
Unterschreiben Sie keine Dinge, die Sie nicht gelesen oder nicht erkannt haben
OpenSea sagt, dass es mit Wallet-Anbietern von Drittanbietern zusammenarbeitet, um Menschen zu helfen, bösartige Signaturanfragen zu erkennen. Dennoch gelten größtenteils die Standardregeln für die Internetsicherheit – klicken Sie nicht auf Dinge, die ungewöhnlich erscheinen, und bestätigen Sie definitiv keine Transaktionsanfragen, es sei denn, Sie sind sich ganz sicher, dass Sie dies tun möchten.
Obwohl dieser spezielle Angriff viel Interaktion (sowie zumindest eine gewisse Unaufmerksamkeit) vom Ziel erforderte, ist es gut, die Bestätigung von Check Point zu sehen, dass OpenSea ihn behoben hat. Es ist leicht vorstellbar, dass NFT-Neulinge möglicherweise ihre Brieftaschen leer bekommen, und wir haben Beispiele für schlechte Akteure und Betrüger im Krypto-Raum gesehen. Es gibt diejenigen, die bereit sind, das Ethereum von Leuten zu stehlen, sich als OpenSea-Supportmitarbeiter auszugeben oder einen mit ziemlicher Sicherheit gefälschten Banksy zu verkaufen.
OpenSea kündigte am Montag auch an, begabte NFTs vor . zu verstecken die Seite eines Kontos standardmäßig, wenn sie aus nicht verifizierten Sammlungen stammen, und fügen Sie eine Option hinzu, um Ihr Konto für den Kauf oder Verkauf von NFTs zu sperren, wenn Sie der Meinung sind, dass Ihre Brieftasche kompromittiert wurde.