Грешки, позволяващи злонамерено качване на NFT, открити в OpenSea marketplace

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Критични проблеми със сигурността на пазара OpenSea NFT, които позволиха на нападателите да откраднат парични средства за криптовалута, бяха закърпени.

NFT, известни още като незаменяеми жетони, са цифрови активи, които могат да се продават и търгуват на блокчейн. Докато някои NFT – от пикселна карикатура до популярен мем – могат да достигнат продажна цена от милиони долари, популярността на това явление също създаде нов вектор на атака за експлоатация.

В сряда изследването на Check Point (CPR) каза екипът че недостатъците на пазара на OpenSea NFT биха могли да позволят на „хакери да отвлекат потребителски акаунти и да откраднат цели крипто портфейли на потребители, като изпратят злонамерени NFT“.

След това беше започнато разследване се появиха доклади на злонамерени NFTs, които се пускат безплатно, използвани като канали за кражба на криптовалута и отвличане на акаунти.

Самият NFT и airdrop не бяха източникът на проблема. Вместо това, след като NFT е подарен на потенциална жертва, те ще го видят-и след това ще се задейства изскачащ прозорец, който иска подпис за свързване с портфейл. Тогава ще се появи подкана за подписване на вторичен подпис и ако бъде приет, може да предостави на нападателите достъп до неволен потребителски портфейл, средства и др.

В случая на OpenSea, провалът в сигурността позволи на екипа да качи .SVG файл, съдържащ злонамерен полезен товар, който да се изпълни под поддомейна за съхранение на OpenSea.

„В нашия сценарий на атака потребителят е помолен да се подпише с портфейла си, след като кликне върху изображение, получено от трета страна, което е неочаквано поведение в OpenSea, тъй като то не корелира с услугите, предоставяни от платформата OpenSea, като например закупуване на артикул, отправяне на оферта или предпочитане на артикул “, казва CPR. “Въпреки това, тъй като домейнът на транзакционната операция е от самия OpenSea и тъй като това е действие, което жертвата обикновено получава при други NFT операции, това може да ги накара да одобрят връзката.”

Изследователите разкриха своите открития пред OpenSea на 26 септември. В рамките на по -малко от час пазарът беше проверил и проверил проблемите със сигурността и внедрил поправка.

В изявление OpenSea заяви:

„Сигурността е от основно значение за OpenSea. Оценяваме екипа за CPR, който насочва вниманието ни към тази уязвимост и ни сътрудничи, докато разследвахме въпроса и внедрихме поправка в рамките на един час, след като тя беше представена на нашето внимание.

Тези атаки биха разчитали на потребители, одобряващи злонамерена дейност чрез доставчик на портфейли на трети страни, като свържат портфейла си и предоставят подпис за злонамерената транзакция. ”

OpenSea добави, че организацията не е открила доказателства за експлоатация в дивата природа.


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •