Хакеры пытаются украсть криптовалюту через вредоносные NFT

Компания Check Point Research (CPR), ведущий поставщик решений кибербезопасности для правительств и корпораций, выявила взлом учетных записей пользователей на платформе OpenSea NFT. Более того, необычные сбои в NFT протокола привели к краже крипто-кошельков всех пользователей и передаче вредоносных NFT. OpenSea известен как крупнейший в мире рынок NFT.

Проведение CPR расследования в OpenSea было вызвано сообщениями об эйрдропах (бесплатных раздачах) NFT, якобы подаренных пользователям. CPR связалась с жертвой украденного криптокошелька, которая подтвердила, что взаимодействовала с NFT, полученному по эйрдропу, до кражи аккаунта.

CPR выявила критические недостатки безопасности в OpenSea, которые могут позволить хакерам захватить учетные записи пользователей и получить доступ к их крипто-кошелькам, создав вредоносные NFT.

Хакерская атака с использованием уязвимостей выглядела так:

1. Хакер создает и дарит целевой жертве вредоносный NFT.
2. Жертва просматривает вредоносный NFT, вызывая всплывающее окно из домена хранилища OpenSea, запрашивая подключение к кртптовалютному кошельку жертвы (такие всплывающие окна часто встречаются на платформе при различных других действиях).
3. Жертва щелкает на окне, чтобы подключить свой кошелек для того, чтобы выполнить действие с подаренным NFT, тем самым обеспечивая доступ к своему кошельку.
4. Хакер может получить деньги в кошельке, запустив дополнительное всплывающее окно, которое также отправляется из домена хранилища OpenSea. Пользователь может щелкнуть всплывающее окно, если не заметит во всплывающем окне примечания, описывающего транзакцию.
5. Конечным результатом может быть кража всего содержимого криптовалютного кошелька пользователя.

Команда CPR незамедлительно сообщила о своих выводах OpenSea. Менее чем через час OpenSea устранила проблему и внесла исправление. Команда CPR работала в тесном сотрудничестве с командой OpenSea, чтобы исправление работало правильно и убедилась, что все векторы атак закрыты.

CPR рекомендует соблюдать осторожность при получении запросов на подпись кошелька в Интернете. Перед тем, как утвердить запрос, вы должны внимательно изучить то, что запрашивается, и подумать, является ли запрос нормальным или подозрительным. Если у вас есть какие-либо сомнения, вам следует отклонить запрос или изучить его дополнительно, прежде чем предоставлять такое разрешение.

Между тем, популярность невзаимозаменяемых токенов (NFT) в последнее время стремительно растет, начиная от популярных мемов, пиксельных мультфильмов, искусства, музыки, видео, спорта и т.д. Но, к сожалению, этот шаг не обошелся без атак эксплуатации.

Примечательно, что хотя NFT работает одинаково с криптовалютами, они не являются валютами. Кроме того, NFT очень спекулятивны и продаются за миллионы. Однако не всем инвесторам они нужны.