OpenSea ha corretto delle vulnerabilità nella sua piattaforma che avrebbero potuto consentire agli hacker di rubare le criptovalute di qualcuno dopo avergli inviato un NFT pericoloso. Il problema è stato scoperto dalla società di sicurezza Check Point Research, che ha notato tweet di persone che affermavano di essere state hackerate dopo aver ricevuto NFT dotati, secondo un post sul blog. I ricercatori hanno parlato con una delle persone dicendo di essere stati attaccati e hanno trovato vulnerabilità che dimostrano che un attacco potrebbe avvenire in questo modo e hanno segnalato i problemi a OpenSea. La società di sicurezza afferma che la piattaforma di trading NFT ha risolto il problema entro un'ora e ha collaborato con i ricercatori per assicurarsi che la soluzione funzionasse.
Sebbene gli aggressori siano potenzialmente in grado di drenare interi portafogli non è certamente un buon aspetto per OpenSea, non si trattava semplicemente di regalare a qualcuno un NFT: l'exploit aveva bisogno che il suo obiettivo facesse clic prima su alcuni prompt, incluso uno che potrebbe includere i dettagli della transazione. Sebbene l'invio di un regalo NFT non richieda alcuna interazione da parte tua, gli NFT dannosi erano innocui se si trovavano semplicemente non visualizzati in un account OpenSea.
:no_upscale()/cdn.vox-cdn.com /uploads/chorus_asset/file/22922471/Screen_Shot_2021_10_12_at_3.17.56_PM.png "OpenSea risolve le vulnerabilità che potrebbero consentire agli hacker di rubare criptovalute con NFT dannosi")
Il messaggio di conferma del trasferimento che gli utenti possono vedere durante la visualizzazione di un NFT infetto. Immagine: Check Point Research La situazione potenzialmente pericolosa si verifica quando si visualizza l'immagine da sola (ad esempio, facendo clic con il pulsante destro del mouse su di essa e premendo “apri in una nuova scheda”). Per gli utenti con un'estensione del browser crypto-wallet come MetaMask installata, avvia un popup che chiede di connettere storage.opensea.io al proprio portafoglio. Se il bersaglio fa clic su Sì, gli aggressori potrebbero rubare le informazioni del portafoglio e attivare un altro popup che chiede di approvare un trasferimento dal portafoglio della vittima al proprio. Se non presti attenzione o non ti rendi conto di cosa stava succedendo e non confermi il trasferimento, potresti finire per perdere tutto nel tuo portafoglio.
OpenSea afferma in una dichiarazione di non aver trovato alcun caso in cui qualcuno abbia effettivamente effettuato quel tipo di attacco, anche se non è ancora chiaro cosa sia successo alle persone che affermano di essere state attaccate. Per quanto ho potuto scoprire, c'erano solo poche persone che parlavano di essere state hackerate dopo aver ricevuto un regalo NFT.
Non firmare cose che non hai letto o che non riconosci
OpenSea afferma di collaborare con fornitori di portafogli di terze parti per aiutare le persone a riconoscere le richieste di firma dannose. Tuttavia, per la maggior parte, si applicano le regole standard di sicurezza di Internet: non fare clic su cose che sembrano fuori dall'ordinario e sicuramente non confermare alcuna richiesta di transazione a meno che tu non sia completamente sicuro che sia qualcosa che vuoi fare.
Anche se questo particolare attacco ha richiesto molta interazione (così come almeno un po' di disattenzione) da parte del bersaglio, è bello vedere la conferma di Check Point che OpenSea lo ha risolto. È facile immaginare che le persone nuove agli NFT possano potenzialmente svuotare i loro portafogli e abbiamo visto esempi di cattivi attori e truffatori nello spazio crittografico. Ci sono quelli che sono disposti a rubare l'Ethereum delle persone, fingere di essere dipendenti del supporto OpenSea o vendere un Banksy quasi certamente falso.
OpenSea ha anche annunciato lunedì che nasconderà NFT dotati da la pagina di un account per impostazione predefinita se provengono da collezioni non verificate e aggiungi un'opzione per sospendere il tuo account dall'acquisto o dalla vendita di NFT se ritieni che il tuo portafoglio sia stato compromesso.