Хакеры пытаются украсть криптовалюту через вредоносные NFT
Выявлены критические недостатки безопасности в OpenSea — крупнейшей платформе торговли NFT.
Компания Check Point Research (CPR), ведущий поставщик решений кибербезопасности для правительств и корпораций, выявила взлом учетных записей пользователей на платформе OpenSea NFT. Более того, необычные сбои в NFT протокола привели к краже крипто-кошельков всех пользователей и передаче вредоносных NFT. OpenSea известен как крупнейший в мире рынок NFT.
Проведение CPR расследования в OpenSea было вызвано сообщениями об эйрдропах (бесплатных раздачах) NFT, якобы подаренных пользователям. CPR связалась с жертвой украденного криптокошелька, которая подтвердила, что взаимодействовала с NFT, полученному по эйрдропу, до кражи аккаунта.
CPR выявила критические недостатки безопасности в OpenSea, которые могут позволить хакерам захватить учетные записи пользователей и получить доступ к их крипто-кошелькам, создав вредоносные NFT.
Хакерская атака с использованием уязвимостей выглядела так:
- Хакер создает и дарит целевой жертве вредоносный NFT.
- Жертва просматривает вредоносный NFT, вызывая всплывающее окно из домена хранилища OpenSea, запрашивая подключение к кртптовалютному кошельку жертвы (такие всплывающие окна часто встречаются на платформе при различных других действиях).
- Жертва щелкает на окне, чтобы подключить свой кошелек для того, чтобы выполнить действие с подаренным NFT, тем самым обеспечивая доступ к своему кошельку.
- Хакер может получить деньги в кошельке, запустив дополнительное всплывающее окно, которое также отправляется из домена хранилища OpenSea. Пользователь может щелкнуть всплывающее окно, если не заметит во всплывающем окне примечания, описывающего транзакцию.
- Конечным результатом может быть кража всего содержимого криптовалютного кошелька пользователя.
Команда CPR незамедлительно сообщила о своих выводах OpenSea. Менее чем через час OpenSea устранила проблему и внесла исправление. Команда CPR работала в тесном сотрудничестве с командой OpenSea, чтобы исправление работало правильно и убедилась, что все векторы атак закрыты.
CPR рекомендует соблюдать осторожность при получении запросов на подпись кошелька в Интернете. Перед тем, как утвердить запрос, вы должны внимательно изучить то, что запрашивается, и подумать, является ли запрос нормальным или подозрительным. Если у вас есть какие-либо сомнения, вам следует отклонить запрос или изучить его дополнительно, прежде чем предоставлять такое разрешение.
Между тем, популярность невзаимозаменяемых токенов (NFT) в последнее время стремительно растет, начиная от популярных мемов, пиксельных мультфильмов, искусства, музыки, видео, спорта и т.д. Но, к сожалению, этот шаг не обошелся без атак эксплуатации.
Примечательно, что хотя NFT работает одинаково с криптовалютами, они не являются валютами. Кроме того, NFT очень спекулятивны и продаются за миллионы. Однако не всем инвесторам они нужны.