Ошибки платформы OpenSea NFT позволяют хакерам красть криптокошельки

21
Количество DDoS-атак на российские компании в 2021 году увеличилось почти втрое

Исследователи безопасности обнаружили, что злоумышленник может оставить владельцев учетных записей OpenSea с пустым балансом криптовалюты, соблазнив их щелкнуть вредоносное изображение NFT.

OpenSea с объемом транзакций в 3,4 миллиарда долларов является крупнейшей в мире торговой площадкой для покупки, продажи и продажи на аукционах невзаимозаменяемых токенов (NFT) и других цифровых активов и предметов коллекционирования.

Утверждение запросов без рассмотрения

Сегодня появились подробности о проблеме на платформе OpenSea, которая позволяет хакерам захватить учетные записи пользователей и украсть связанные с ними кошельки с криптовалютой.

Метод атаки так же прост, как создание NFT с вредоносной полезной нагрузкой и ожидание, пока жертва проглотит наживку и просмотрит ее.

Несколько пользователей сообщили о пустых кошельках для криптовалюты после получения подарков на торговой площадке OpenSea — маркетинговой тактики, известной как «сброс с воздуха» и используемой для продвижения новых виртуальных активов.

Соблазненные этими аккаунтами, исследователи из компании Check Point, занимающейся кибербезопасностью, решили внимательнее изучить, как работает платформа, и проверить ее на наличие уязвимостей.

Для учетной записи OpenSea требуется сторонний кошелек для криптовалюты из списка, поддерживаемого платформой. Одна из самых популярных — MetaMask, которую также выбрали исследователи.

Связь с кошельком происходит при любом действии в учетной записи, включая установку лайков в системе, которая запускает запрос на вход в кошелек.

Платформа OpenSea позволяет любому продавать цифровое искусство, которое может представлять собой файлы размером до 40 МБ с любым из следующих расширений: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.

Зная об этом, Check Point загрузила в систему OpenSea изображение SVG, содержащее вредоносный код JavaScript. При нажатии на нее, чтобы открыть новую вкладку, они заметили, что файл выполняется в поддомене storage.opensea.io.

Они также добавили iFrame к изображению SVG для загрузки HTML-кода, который будет вводить «window.ethereum», необходимый для установления связи с кошельком Ethereum жертвы.

«В нашем сценарии атаки пользователя просят подписаться с помощью своего кошелька после нажатия на изображение, полученное от третьей стороны, что является неожиданным поведением OpenSea, поскольку оно не коррелирует с услугами, предоставляемыми платформой OpenSea, такими как покупка товара, сделать предложение или отдать предпочтение предмету» — Check Point

Злоупотребление функциональностью кошелька осуществляется через Ethereum RPC-API, который запускает связь с MetaMask и открывает всплывающее окно для подключения к кошельку.

Затем злоумышленнику необходимо, чтобы жертва взаимодействовала с допустимым всплывающим окном, чтобы они могли выполнять действия от имени жертвы.

Исследователи отмечают, что хакеру потребовалось еще одно всплывающее окно с запросом подписи, чтобы получить криптовалюту в кошельке.

Однако это не было бы большой проблемой, поскольку такие запросы «часто появляются как системное уведомление», и пользователи, скорее всего, одобрят транзакцию, не прочитав сообщение.

С доменом транзакции от платформы OpenSea и действиями, которые жертвы обычно видят с другими операциями NFT, легко увидеть, как пользователи могли стать жертвами.

В сегодняшнем отчете исследователи Check Point резюмировали атаку следующим образом:

  • Хакер создает и дарит целевой жертве вредоносный NFT.
  • Жертва просматривает вредоносный NFT, вызывая всплывающее окно из домена хранилища OpenSea, запрашивая подключение к кошельку криптовалюты жертвы.
  • Жертва нажимает, чтобы подключить свой кошелек и выполнить действие с подаренным NFT, тем самым предоставив доступ к кошельку жертвы.
  • Хакер может получить деньги в кошельке, запустив дополнительное всплывающее окно, также отправленное из домена хранилища OpenSea. Жертва, скорее всего, щелкнет всплывающее окно, не прочитав заметку, описывающую транзакцию.

Исследователи Check Point проинформировали OpenSea о своих выводах 26 сентября. Обе стороны сотрудничали для решения проблемы, и OpenSea нашла решение менее чем через час после ответственного раскрытия информации.

OpenSea заявляет, что они не смогли выявить ни одного случая, когда злоумышленники использовали эту уязвимость, но продолжают повышать осведомленность и информировать сообщество о передовых методах безопасности и о том, как обнаруживать мошенничество и попытки фишинга.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here