Connect with us

Deutsch

Fehler, die bösartige NFT-Uploads auf dem OpenSea-Marktplatz ermöglichen

Published

on

Kritische Sicherheitsprobleme auf dem OpenSea NFT-Marktplatz, die es Angreifern ermöglichten, Kryptowährungs-Wallet-Gelder zu stehlen, wurden behoben.

NFTs, auch nicht fungible Token genannt, sind digitale Vermögenswerte, die auf der Blockchain verkauft und gehandelt werden können. Während einige NFTs – von einem Pixel-Cartoon bis hin zu einem beliebten Meme – einen Verkaufspreis von Millionen von Dollar erreichen können, hat die Popularität dieses Phänomens auch einen neuen Angriffsvektor für die Ausbeutung geschaffen.

Am Mittwoch sagte das Team von Check Point Research (CPR), dass Fehler auf dem OpenSea-NFT-Marktplatz es „Hackern ermöglicht haben könnten, Benutzerkonten zu kapern und ganze Krypto-Wallets von Benutzern zu stehlen, indem sie bösartige NFTs senden“.

Eine Untersuchung wurde eingeleitet, nachdem Berichte über bösartige NFTs aufgetaucht waren, die kostenlos aus der Luft abgeworfen wurden und als Kanäle für Kryptowährungsdiebstahl und Kontoentführung verwendet wurden.

Der NFT selbst und der Airdrop waren nicht die Ursache des Problems. Sobald ein NFT einem potenziellen Opfer geschenkt worden war, wurde es stattdessen angezeigt – und dann wurde ein Pop-up ausgelöst, in dem eine Signatur angefordert wurde, um eine Verbindung zu einer Brieftasche herzustellen. Eine zweite Aufforderung zur Unterschriftsanforderung würde dann erscheinen und könnte, wenn sie akzeptiert wird, Angreifern Zugriff auf die Brieftasche, das Guthaben und mehr eines unwissenden Benutzers gewähren.

Im Fall von OpenSea ermöglichte die Sicherheitslücke dem Team, eine .SVG-Datei mit einer schädlichen Nutzlast hochzuladen, die unter der OpenSea-Speicher-Subdomain ausgeführt würde.

“In unserem Angriffsszenario wird der Benutzer aufgefordert, mit seiner Brieftasche zu signieren, nachdem er auf ein von einem Dritten erhaltenes Bild geklickt hat, was bei OpenSea ein unerwartetes Verhalten darstellt, da es nicht mit den von der OpenSea-Plattform bereitgestellten Diensten wie dem Kauf eines Artikels ein Angebot machen oder einen Artikel bevorzugen”, sagt CPR. “Da die Transaktionsoperationsdomäne jedoch von OpenSea selbst stammt und dies eine Aktion ist, die das Opfer normalerweise bei anderen NFT-Operationen erhält, kann dies dazu führen, dass es die Verbindung genehmigt.”

Die Forscher gaben ihre Ergebnisse am 26. September OpenSea bekannt. Innerhalb von weniger als einer Stunde hatte der Marktplatz die Sicherheitsprobleme geprüft und überprüft und eine Lösung bereitgestellt.

In einer Erklärung sagte OpenSea:

“Sicherheit ist für OpenSea von grundlegender Bedeutung. Wir wissen es zu schätzen, dass das CPR-Team uns auf diese Sicherheitsanfälligkeit aufmerksam gemacht hat und mit uns zusammengearbeitet hat, um die Angelegenheit zu untersuchen und innerhalb einer Stunde nach Bekanntwerden eine Lösung zu implementieren.

Diese Angriffe hätten sich darauf verlassen, dass Benutzer böswillige Aktivitäten über einen Drittanbieter-Wallet-Anbieter genehmigen, indem sie ihre Wallet verbinden und eine Signatur für die böswillige Transaktion bereitstellen.”

OpenSea fügte hinzu, dass die Organisation keine Beweise für eine Ausbeutung in freier Wildbahn gefunden habe.

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.