Kritiska säkerhetsproblem på OpenSea NFT -marknaden som gjorde det möjligt för angripare att stjäla kryptovaluta -plånboksmedel har lappats.
NFT, även kända som icke-fungibla tokens, är digitala tillgångar som kan säljas och handlas på blockchain. Medan vissa NFT: er – från en pixeltecknad film till en populär meme – kan nå ett försäljningspris på miljoner dollar, har detta fenomens popularitet också skapat en ny attackvektor för exploatering.
I onsdags sa Check Point Research (CPR) -teamet att brister på OpenSea NFT -marknaden kunde ha tillåtit “hackare att kapa användarkonton och stjäla hela krypto -plånböcker av användare genom att skicka skadliga NFT: er”.
En undersökning inleddes efter att rapporter dykt upp om skadliga NFT -apparater, som släpptes gratis och använts som ledningar för kryptovaluta -stöld och kontokapning.
NFT själv och airdropen var inte källan till problemet. Istället, när en NFT hade begåvats till ett potentiellt offer, skulle de se det-och sedan skulle en popup-fönster utlösa och begära en signatur för att ansluta till en plånbok. En sekundär begäran om signaturförfrågan skulle då visas, och om den accepteras kan den ge angripare tillgång till en ovetande användares plånbok, pengar och mer.
I fallet med OpenSea tillät säkerhetsbristen teamet att ladda upp en .SVG -fil som innehåller en skadlig nyttolast, som skulle köras under underdomänen OpenSea -lagring.
“I vårt attackscenario uppmanas användaren att logga in med sin plånbok efter att ha klickat på en bild från en tredje part, vilket är oväntat beteende på OpenSea, eftersom det inte korrelerar till tjänster som tillhandahålls av OpenSea -plattformen, som att köpa ett objekt, göra ett erbjudande eller gynna en vara, säger HLR. “Eftersom transaktionsoperationsdomänen är från OpenSea själv, och eftersom detta är en åtgärd som offret vanligtvis får i andra NFT -operationer, kan det leda till att de godkänner anslutningen.”
Forskarna avslöjade sina resultat till OpenSea den 26 september. Inom mindre än en timme hade marknadsplatsen triagerat och verifierat säkerhetsfrågorna och implementerat en åtgärd.
I ett uttalande sa OpenSea:
“Säkerhet är grundläggande för OpenSea. Vi uppskattar att HLR -teamet uppmärksammar denna sårbarhet och samarbetar med oss när vi undersökte frågan och genomförde en åtgärd inom ett timme efter att det uppmärksammats.
Dessa attacker skulle ha förlitat sig på att användare godkände skadlig aktivitet via en tredjepartsplånbokleverantör genom att ansluta sin plånbok och tillhandahålla en signatur för den skadliga transaktionen. ”
OpenSea tillade att organisationen inte har hittat några bevis på exploatering i det vilda.
Tidigare och relaterad täckning
Lär dig allt om kryptohandel och NFT på 11 timmars kurs i egen takt för bara $ 30
Ny plattform använder NFT som en inkörsport för digital rättighetshantering
Kusama introducerar 'art legos': Komplexa programmerbara NFT -enheter
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 