OpenSea a corrigé des vulnérabilités dans sa plate-forme qui auraient pu permettre aux pirates de voler la crypto de quelqu'un après lui avoir envoyé un NFT conçu de manière malveillante. Le problème a été découvert par la société de sécurité Check Point Research, qui a remarqué des tweets de personnes affirmant avoir été piratées après avoir reçu des NFT, selon un article de blog. Les chercheurs ont parlé à l'une des personnes disant avoir été attaquées et ont découvert des vulnérabilités prouvant qu'une attaque pouvait se produire de cette façon et ont signalé les problèmes à OpenSea. La société de sécurité affirme que la plate-forme de négociation NFT a résolu le problème en une heure et a travaillé avec des chercheurs pour s'assurer que le correctif fonctionnait.
Bien que les attaquants pouvant potentiellement vider des portefeuilles entiers ne soient certainement pas une bonne idée pour OpenSea, il ne s'agissait pas simplement d'offrir à quelqu'un un NFT – l'exploit avait besoin que sa cible clique d'abord sur quelques invites, y compris une qui pourrait inclure les détails de la transaction. Bien que l'envoi d'un cadeau NFT ne nécessite aucune interaction de votre part, les NFT malveillants étaient inoffensifs s'ils restaient simplement invisibles dans un compte OpenSea.
:no_upscale()/cdn.vox-cdn.com /uploads/chorus_asset/file/22922471/Screen_Shot_2021_10_12_at_3.17.56_PM.png "OpenSea corrige des vulnérabilités qui pourraient permettre aux pirates de voler des cryptos avec des NFT malveillants")
Le message de confirmation de transfert que les utilisateurs peuvent voir lorsqu'ils consultent un NFT infecté. Image : Recherche Check Point La situation potentiellement dangereuse se produit lors de la visualisation de l'image par elle-même (par exemple, en cliquant dessus avec le bouton droit et en appuyant sur « Ouvrir dans un nouvel onglet »). Pour les utilisateurs disposant d'une extension de navigateur de portefeuille crypto comme MetaMask, il lance une fenêtre contextuelle demandant de connecter storage.opensea.io à leur portefeuille. Si la cible clique sur Oui, les attaquants pourraient récupérer les informations du portefeuille et déclencher une autre fenêtre contextuelle demandant d'approuver un transfert du portefeuille de la victime vers le leur. Si vous ne faites pas attention ou ne réalisez pas ce qui se passe et confirmez le transfert, vous pourriez finir par tout perdre dans votre portefeuille.
OpenSea a déclaré dans un communiqué qu'il n'avait trouvé aucun cas où quelqu'un aurait réellement commis ce genre d'attaque – bien que l'on ne sache toujours pas ce qui est arrivé aux personnes qui disent avoir été attaquées. D'après ce que j'ai pu trouver, il n'y avait que quelques personnes qui parlaient d'avoir été piratées après avoir reçu un cadeau NFT.
Ne signez pas des choses que vous n'avez pas lues ou que vous ne reconnaissez pas
OpenSea dit qu'il travaille avec des fournisseurs de portefeuille tiers pour aider les gens à reconnaître les demandes de signature malveillantes. Pourtant, pour la plupart, les règles de sécurité Internet standard s'appliquent – ne cliquez pas sur des choses qui semblent hors de l'ordinaire, et ne confirmez certainement aucune demande de transaction à moins d'être tout à fait sûr que c'est quelque chose que vous voulez faire.
Bien que cette attaque particulière ait nécessité beaucoup d'interaction (ainsi qu'au moins une certaine inattention) de la part de la cible, il est bon de voir la confirmation de Check Point qu'OpenSea l'a corrigé. Il est facile d'imaginer que les personnes qui découvrent les NFT se voient potentiellement vider leur portefeuille, et nous avons vu des exemples de mauvais acteurs et d'escrocs dans l'espace crypto. Il y a ceux qui sont prêts à voler l'Ethereum des gens, à prétendre être des employés de support d'OpenSea ou à vendre presque certainement un faux Banksy.
OpenSea a également annoncé lundi qu'il cacherait les NFT doués aux la page d'un compte par défaut s'ils proviennent de collections non vérifiées et ajoutez une option pour suspendre votre compte d'acheter ou de vendre des NFT si vous pensez que votre portefeuille a été compromis.