OpenSea har fikset sårbarheter i plattformen som kunne ha latt hackere stjele noens krypto etter å ha sendt dem en ondsinnet NFT. Problemet ble funnet av sikkerhetsfirmaet Check Point Research, som la merke til tweets fra folk som hevdet at de ble hacket etter å ha blitt begavet NFT, ifølge et blogginnlegg. Forskerne snakket med en av personene om at de ble angrepet, og fant sårbarheter som beviser at et angrep kan skje på denne måten, og rapporterte problemene til OpenSea. Sikkerhetsfirmaet sier NFT -handelsplattformen løste problemet innen en time og jobbet med forskere for å sikre at reparasjonen fungerte.
Selv om angriperne potensielt kan tømme hele lommebøker absolutt ikke er et godt utseende for OpenSea, var det ikke bare en enkel sak å bare gi noen en NFT – utnyttelsen trengte målet sitt for å klikke på noen få spørsmål først, inkludert en som kan inkludere transaksjonsdetaljer. Selv om det ikke kreves noen interaksjon fra deg å bli sendt en NFT -gave, var de ondsinnede NFT -ene ufarlige hvis de bare satt usynlige i en OpenSea -konto.
:no_upscale()/cdn.vox-d /uploads/chorus_asset/file/22922471/Screen_Shot_2021_10_12_at_3.17.56_PM.png "OpenSea løser sårbarheter som kan la hackere stjele krypto med ondsinnede NFT -er")
Overføringsbekreftelsesmeldingen brukere kan se mens de ser på en infisert NFT. Bilde: Check Point Research Den potensielt farlige situasjonen oppstår når du ser på bildet alene (ved å høyreklikke på det og trykke “åpne i ny fane”). For brukere med en nettleserutvidelse med kryptolommebok som MetaMask installert, starter den en popup som ber om å koble storage.opensea.io til lommeboken. Hvis målet klikker ja, kan angriperne fange opp informasjonen fra lommeboken og utløse en annen popup som ber om å godkjenne en overføring fra offerets lommebok til sin egen. Hvis du ikke er oppmerksom eller ikke innser hva som foregikk og bekreftet overføringen, kan du ende opp med å miste alt i lommeboken din.
OpenSea sier i en uttalelse at den ikke har funnet noen tilfeller av at noen faktisk utførte den typen angrep – selv om det fortsatt er uklart hva som skjedde med menneskene som sier at de ble angrepet. Så vidt jeg fant var det bare noen få som snakket om å bli hacket etter å ha mottatt en gave -NFT.
Ikke signer ting du ikke har lest eller ikke kjenner igjen
OpenSea sier at det jobber med tredjeparts lommebokleverandører for å hjelpe folk med å gjenkjenne ondsinnede signaturforespørsler. Likevel gjelder for det meste vanlige sikkerhetsregler for internett – ikke klikk på ting som virker utenom det vanlige, og definitivt ikke bekreft transaksjonsforespørsler med mindre du er helt sikker på at det er noe du vil gjøre.
Selv om dette angrepet krevde mye interaksjon (så vel som minst en viss uoppmerksomhet) fra målet, er det godt å se Check Points bekreftelse på at OpenSea har løst det. Det er lett å forestille seg at folk som er nye på NFT -er, potensielt får tømmet lommeboken, og vi har sett eksempler på dårlige aktører og svindlere i kryptoområdet. Det er de som er villige til å stjele folks Ethereum, late som om de er OpenSea -støtteansatte, eller selge en nesten helt sikker falske Banksy.
OpenSea kunngjorde også mandag at de ville gjemme begavede NFT -er for en kontoside som standard hvis de kommer fra ubekreftede samlinger og legger til et alternativ for å suspendere kontoen din fra å kjøpe eller selge NFT -er hvis du tror at lommeboken din er blitt kompromittert.