Os erros da plataforma OpenSA NFT permitem que os piratas de computador roubem carteiras criptográficas?

Crédito da imagem: Kerfin7

Pesquisadores de segurança descobriram que um invasor pode deixar os proprietários de contas do OpenSea com um saldo de criptomoeda vazio, seduzindo-os a clicar na arte NFT maliciosa.

Com um volume de transações de US$ 3,4 bilhões, a OpenSea é o maior mercado do mundo para compra, venda e leilão de tokens não fungíveis (NFTs) e outros ativos digitais e colecionáveis.

Aprovar solicitações sem revisão

Os detalhes surgiram hoje sobre um problema na plataforma OpenSea que permite que hackers sequestrem contas de usuários e roubem carteiras de criptomoedas associadas.

O método de ataque é tão simples quanto criar um NFT com uma carga maliciosa e esperar que uma vítima o morda e o veja.

Mais usuários relataram carteiras de criptomoedas vazias depois de receber brindes no mercado OpenSea, uma tática de marketing conhecida como "airdrop" e usada para promover novos ativos virtuais.

Atraídos por essas contas, pesquisadores da empresa de segurança cibernética Check Point decidiram examinar mais de perto como a plataforma funciona e procurar vulnerabilidades.

Uma conta OpenSea requer uma carteira de criptomoedas de terceiros de uma lista suportada pela plataforma. Um dos mais populares é o MetaMask, que também é o escolhido pelos pesquisadores.

A comunicação com a carteira ocorre para qualquer ação na conta, incluindo curtir arte no sistema, que aciona uma solicitação de acesso à carteira.

A plataforma OpenSea permite que qualquer pessoa venda arte digital, que pode conter arquivos de até 40 MB com uma das seguintes extensões: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.

Sabendo disso, a Check Point carregou uma imagem SVG para o sistema OpenSea que continha código JavaScript malicioso. Clicando nele para abri-lo em uma nova guia, eles notaram que o arquivo estava sendo executado no subdomínio "storage.opensea.io".

Eles também adicionaram um iFrame à imagem SVG para carregar o código HTML que injetaria o "window.ethereum" necessário para abrir a comunicação com a carteira Ethereum da vítima.

“Em nosso cenário de ataque, o usuário é solicitado a assinar com sua carteira após clicar em uma imagem recebida de um terceiro, o que é um comportamento inesperado no OpenSea, pois não está relacionado aos serviços prestados pela plataforma.” OpenSea, tais como comprar um item. , licitar ou favorecer um item" – Check Point

O abuso da funcionalidade da carteira é feito através da Ethereum RPC-API, que inicia a comunicação com o MetaMask e abre a janela pop-up para conexão com a carteira.

Um invasor precisava que a vítima interagisse com o pop-up legítimo para realizar ações em nome da vítima.

Os pesquisadores observam que outro pop-up de solicitação de assinatura foi necessário para o hacker colocar a criptomoeda na carteira.

No entanto, isso não teria sido um grande problema, uma vez que tais solicitações "muitas vezes aparecem como um aviso do sistema" e os usuários provavelmente aprovarão a transação sem ler a mensagem.

Com um domínio de transação da plataforma OpenSea e a ação que as vítimas costumam ver com outras operações NFT, é fácil ver como os usuários podem ser vitimizados.

Em um relatório hoje, os pesquisadores da Check Point resumiram o ataque da seguinte forma:

  • O hacker cria e fornece um NFT malicioso para uma vítima alvo.
  • A vítima vê o NFT malicioso, que aciona um pop-up do domínio de armazenamento OpenSea, solicitando uma conexão com a carteira de criptomoedas da vítima.
  • A vítima clica para conectar sua carteira e realizar a ação no NFT presenteado, permitindo assim o acesso à carteira da vítima.
  • O hacker pode obter o dinheiro na carteira acionando um pop-up adicional, também enviado pelo domínio de armazenamento OpenSea. A vítima provavelmente clicará na janela pop-up sem ler a nota que descreve a transação.

Os pesquisadores da Check Point informaram a OpenSea de suas descobertas em 26 de setembro. As duas partes trabalharam juntas para resolver o problema e a OpenSea encontrou uma solução dentro de uma hora após a divulgação responsável.

A OpenSea diz que não conseguiu identificar nenhuma instância em que os invasores explorariam essa vulnerabilidade, mas continuam a conscientizar e educar a comunidade sobre as melhores práticas de segurança e como identificar fraudes e tentativas de phishing.

  • 10 itens de papelaria obrigatórios para pessoas que gostam de manter um diário – LifeSavvy
  • Por que não consigo redimensionar o menu Iniciar ou a barra de tarefas no Windows 11?

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Deixe uma resposta Cancelar resposta

Como criar um NFT para OpenSea?

O primeiro passo será ir ao botão “Criar” ou “ Criar ” dentro do OpenSea para começar a gerar o NFT . Abaixo, você pode selecionar outras opções que podem ser adicionadas à sua NFT , como adicioná-la a uma coleção que você possui ou aplicar propriedades especiais a ela.

Quanto custa criar um NFT no OpenSea?

Criar seu próprio NFT ou coleção de NFTs no OpenSea é gratuito. O primeiro passo no processo é criar uma conta Opensea gratuita e vincular uma carteira.

Onde posso criar minha NFT?

O primeiro passo na criação de um NFT é gerar um usuário em uma plataforma para esta finalidade. Um dos mais utilizados é o OpenSea, que além de permitir a geração do token digital, funciona como um mercado onde o produto pode ser leiloado.

Como criar um NFT grátis e vendê-lo?

Vá para o mercado OpenSea e clique no ícone da carteira no canto superior direito para conectar sua carteira. Selecione MetaMask e confirme a conexão da carteira (aparecerá um pop-up). Depois que sua carteira estiver conectada ao mercado, você poderá visualizar seu perfil e criar suas primeiras NFTs .

Ir arriba