Użytkownicy OpenSea, platformy dla NFT, narażeni na ataki

13-10-2021, 15:08

Luki bezpieczeństwa w OpenSea, największej na świecie platformy dla NFT, mogły doprowadzić do kradzieży krypto-portfeli części użytkowników – informuje Check Point Research, którego dochodzenie doprowadziło do odkrycia krytycznych luk w zabezpieczeniach platformy. Choć OpenSea nie potwierdza jakichkolwiek ofiar wykorzystania luk, to w mediach społecznościowych pojawiają się wpisy nt. utraty znacznych kwot z podłączonych do platformy portfeli.

Eksperci bezpieczeństwa cybernetycznego z Check Point Research zidentyfikowali krytyczne luki bezpieczeństwa w OpenSea, które mogły umożliwić hakerom przejęcie kont użytkowników i kradzież całych portfeli kryptowalut poprzez tworzenie złośliwych NFT (tokenów niewymienialnych). OpenSea znany jest jako największy na świecie rynek NFT, szczycący się transakcjami wartymi 3,4 miliarda dolarów w samym tylko sierpniu 2020 roku.

Dochodzenie w tej sprawie zostało zapoczątkowane po doniesieniach użytkowników o otrzymaniu darmowych podarunków NFT, których odbiór oznaczał zwykle przejęcie konta ofiary. Zaciekawieni tą sprawą specjaliści z Check Point Research postanowili skontaktować się z jedną z ofiar, by dokładnie zbadać incydent.

Czym jest NFT i OpenSea?

NFT (non-fungible token), czyli niewymienialny token, to unikalny cyfrowy składnik aktywów, reprezentujący gamę produktów materialnych i niematerialnych, takich jak wirtualne nieruchomości czy dzieła sztuki. Rodzaj tokena kryptograficznego wykorzystującego blockchain. W lutym 2021 roku na rynku NFT zadebiutował Juventus Turyn, wypuszczając karty kolekcjonerskie reprezentujące wizerunki piłkarzy. Pierwsza wyemitowana karta przedstawiała wizerunek Cristiano Ronaldo. OpenSea to giełda NFT uruchomiona na przełomie 2017 i 2018 roku, będąca obecnie największym tego typu przedsięwzięciem z przeszło 300 tys. użytkowników i transakcjami wartymi ponad 4 miliardy dolarów.

Analiza platformy wykazała, że w OpenSea występowały krytyczne luki bezpieczeństwa, które mogły być wykorzystane do przejęcia kont i kradzieży portfeli kryptograficznych. Zdaniem Check Pointa pomyślne wykorzystanie luk wymagało w pierwszej kolejności stworzenia złośliwego NFT oraz przekazania go ofierze w postaci prezentu. Przeglądając złośliwy NFT ofiara zostaje poproszona o połączenie ze swoim portfelem, co bywało stosunkowo częstym i nie wzbudzającym podejrzeń procederem na platformie. W tym momencie hakerzy liczą na nieuważność użytkownika, prosząc go w kolejnym komunikacie o potwierdzenie transakcji doprowadzającej do kradzieży całego portfela.

Nasze zainteresowanie OpenSea pojawiło się, gdy natrafiliśmy na rozmowy o skradzionych portfelach kryptowalut. Spekulowaliśmy, że metoda ataku wykorzystuje naturalne środowisko OpenSea, więc rozpoczęliśmy dokładne badanie platformy. Rezultatem było odkrycie sposobu na kradzież portfeli kryptowalutowych użytkowników, polegającego na wysyłaniu złośliwego NFT przez OpenSea. Natychmiastowo ujawniliśmy nasze ustalenia firmie OpenSea, która współpracowała z nami nad szybkim wdrożeniem poprawki – mówi Oded Vanunu szef działu badań podatności produktów w firmie Check Point Software.

Check Point Research ujawniło swoje ustalenia OpenSea w niedzielę, 26 września 2021 roku. Twórcy platformy niemal natychmiastowo naprawili problem i zweryfikowali poprawkę. Podczas swojego dochodzenia Check Point Research stale współpracował z zespołem OpenSea, aby zapewnić prawidłowe działanie poprawki łatającej wykryte podatności. Jednocześnie eksperci zalecają użytkownikom zachowanie ostrożności w momencie otrzymania jakichkolwiek próśb o „podpisanie” portfela online: należy dokładnie przyjrzeć się wyświetlanemu wnioskowi, a w przypadku jakichkolwiek wątpliwości odrzucić go.

- Wierzę, że wyniki naszych badań i szybkie działanie OpenSea zapobiegną kradzieżom portfeli kryptograficznych użytkowników. Biorąc pod uwagę tempo innowacji blockchain, nieodłącznym wyzwaniem jest bezpieczna integracja aplikacji platform i rynków kryptograficznych z portfelami użytkowników – dodaje ekspert Check Point Software.

W związku z wykryciem podatności swoje stanowisko przedstawiła również firma OpenSea:

Bezpieczeństwo ma fundamentalne znaczenie dla OpenSea. Doceniamy to, że zespół Check Point Research zwrócił naszą uwagę na tę lukę i współpracował z nami, w momencie badania sprawy i wdrażania poprawki, przygotowanej w ciągu godziny od interwencji zwrócenia uwagi (przez Check Point Research – przyp. red.) Ataki te polegałyby na tym, że użytkownicy zatwierdzaliby złośliwą aktywność za pośrednictwem zewnętrznego dostawcy portfela, łącząc swój portfel i zapewniając podpis dla złośliwej transakcji. Nie byliśmy w stanie zidentyfikować żadnych przypadków, w których ta luka została wykorzystana, ale współpracujemy bezpośrednio z portfelami innych firm, które integrują się z naszą platformą, aby pomóc użytkownikom lepiej identyfikować złośliwe żądania podpisów, a także inne inicjatywy, które mają pomóc użytkownikom w zapobieganiu oszustwom i wyłudzaniu informacji ataki z większą skutecznością. Zwiększamy również nacisk na edukację społeczności na temat najlepszych praktyk bezpieczeństwa i rozpoczęliśmy serię blogów o tym, jak zachować bezpieczeństwo w zdecentralizowanej sieci. Zachęcamy zarówno nowych użytkowników, jak i tych doświadczonych do lektury całej serii. Naszym celem jest umożliwienie społeczności wykrywania, łagodzenia i zgłaszania ataków w ekosystemie blockchain, takim jak ten zademonstrowany przez CPR.


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031