En sårbarhet i OpenSea gjorde det möjligt för hackare att stjäla användares kryptovaluta plånböcker

En sårbarhet på OpenSea gjorde det möjligt för hackare att tömma plånböckerna på kryptovalutor
plattformsanvändare.

Angriparna erbjöd NFT-filer som innehöll skadlig kod till sina offer så att de kunde komma åt sina konton så fort de klickade på dem.

En enkel skadlig bild behövs

På Twitter rapporterade flera användare av OpenSea, den populära sälj- och köpplattformen NFT, att de förlorat innehållet i sina kryptovaluta plånböcker efter att ha accepterat en giveaway på plattformen. Efter dessa vittnesmål beslutade forskare från Check Point att undersöka saken och hittade en sårbarhet.

Det första steget som krävs för att attacken ska fungera, skapa en skadlig NFT. OpenSea tillåter vem som helst att ladda upp bilder för att skapa en NFT, så forskarna valde en bild i SVG-format. De lade till skadlig JavaScript-kod till den samt en iFrame som laddar HTML och ger dem tillgång till “window.ethereum”, nödvändigt för att kunna upprätta kommunikation med offrets plånbok.

Steg två, få användaren att logga in i sin plånbok. Om offret klickar på den skadliga bilden kommer deras plånboksinloggningspopup att visas. En ovanlig begäran på plattformen, där ingen identifiering krävs för att se en bild, men denna inloggning krävs för många andra åtgärder, kan offret fortfarande utföra av vana. För att få tillbaka pengarna måste angriparen ta upp en andra popup som ber offret att underteckna en transaktion mellan sina två konton. Check Point noterar att dessa popup-fönster är standard på plattformarna och att genom att inte läsa noggrant kan offret validera åtgärden, igen av vana.

En sårbarhet fixad på en timme

Denna sårbarhet är farlig av två anledningar. Först använder bildwebbadresser som öppnas på en ny flik en underdomän till OpenSea. Detta är också fallet med HTML-sidan inbäddad av angriparna tack vare