Opensea 漏洞允许使用免费 NFT 作为诱饵抢劫用户


关键事实:

在他们尝试接收免费数字艺术时,受害者可能会失去全部平衡。

NFT 市场本可以纠正允许盗窃加密货币资产的漏洞。

向 Opensea 用户免费提供的不可替代的代币 (NFT) 可以成为恶意行为者窃取其受害者钱包中所有资产的诱饵。

以色列安全公司 Check Point Research 的一项调查发现 Opensea 存在漏洞,Opensea 是最大的收藏代币交易平台之一。

Check Point 的调查人员模拟了一次攻击,目的是发现为什么有这么多 Opensea 用户在收到礼物 NFT 后报告他们的资产被盗。 所以他们创造了一个情境,让他们看看这是否可能。

通过向特定受害者赠送 NFT 以耗尽其投资组合中的资产,该攻击场景取得了成功。 在受害者认领他们的礼物收藏代币时,他们会打开一系列恶意弹出窗口,设计看起来像 Opensea,要求他们将用户的钱包连接到平台。

一旦受害者按照弹出窗口中指示的指示进行操作,就会激活将资金转移到攻击者控制的钱包中。 如果当时用户没有注意或没有意识到发生了什么,他们就会签署资金转移,将他们的所有资产留在黑客手中。

Check Point Research 的研究人员能够证明恶意行为者如何从 Opensea 用户那里窃取资金。 资料来源:检查点。

在我们的攻击场景中,用户被要求在点击从第三方收到的图像后从他们的钱包中签署一笔转账,这是 OpenSea 中的意外行为,因为它与平台提供的服务无关。 但是,由于事务操作的域是 OpenSea 本身,并且由于这是受害者通常在另一个操作中获得的操作,因此可以导致他批准连接。

Check Point 研究团队。

在所有部分工作后,攻击的最后一步是将 NFT 转移给受害者。 然后,此转移将毫无问题地进行,受影响的用户会将代币添加到他们的收藏中,而不会发现发生了什么。

该安全公司在其报告中指出,它就发现的漏洞向公司发出了警告,这些漏洞已得到及时解决,包括与研究人员合作以确保解决方案有效。 在任何情况下,都没有添加 Opensea 如何解决这些故障的详细信息。 也不知道说他们遭到袭击的人后来怎么样了。

该安全公司指出:“OpenSea 响应并共享了包含来自其存储域的嵌入对象的 NFT,以便我们可以一起审查并确保关闭所有攻击媒介。”

Opensea,一个需要谨慎导航的生态系统

这不是第一次错误或诈骗报告针对生态系统中最大的 NFT 市场。 正如 CriptoNoticias 在 9 月中旬报道的那样,该公司自己的产品总监利用他对市场内部运作的了解,从中获取个人利益。

Nate Chastain 在相当长的一段时间内进行了一系列操作,让他以欺诈手段赚取了 19 以太(ETH)。 他以低价购买了 NFT,因为他知道以后出现在网站的首页会升值。 当时,他以高出数倍的价格出售它们。 该公司承认了这一事实,查斯坦后来被解雇了。

同样在上个月,Opensea 的一个漏洞导致至少 42 个价值约 28 个以太币 (ETH) 的可收藏代币消失。 该漏洞将 42 个 NFT 转移到销毁列表,影响了平台用户的 21 个以上不同帐户。

在这些被销毁的代币中,有一个是整个生态系统中最古老的去中心化域名,rilxxlir.eth。 2017 年首批注册并可供拍卖的公司之一。

资讯来源:由0x资讯编译自CRIPTONOTICIAS。版权归作者Marianella Vanci所有,未经许可,不得转载

Total
0
Shares
Related Posts