Một lỗ hổng trên OpenSea cho phép tin tặc làm rỗng ví của tiền điện tử
người dùng nền tảng.
Những kẻ tấn công đã cung cấp các NFT chứa mã độc hại cho nạn nhân của chúng để họ có thể truy cập vào tài khoản của mình ngay sau khi nhấp vào chúng.
Cần một hình ảnh độc hại đơn giản
Trên Twitter
, một số người dùng OpenSea, nền tảng mua và bán NFT phổ biến, đã báo cáo rằng họ đã mất nội dung trong ví tiền điện tử của mình sau khi chấp nhận một món quà trên nền tảng này. Sau những lời chứng thực này, các nhà nghiên cứu từ Check Point quyết định xem xét vấn đề và tìm ra lỗ hổng.
Bước đầu tiên cần thiết để cuộc tấn công hoạt động, hãy tạo một NFT độc hại. OpenSea cho phép bất kỳ ai tải lên hình ảnh để tạo NFT, vì vậy các nhà nghiên cứu đã chọn hình ảnh ở định dạng SVG. Họ đã thêm mã JavaScript độc hại vào nó cũng như iFrame tải HTML và cấp cho họ quyền truy cập vào “window.ethereum”, cần thiết để có thể thiết lập liên lạc với ví của nạn nhân.
Bước hai, yêu cầu người dùng đăng nhập vào ví của họ. Nếu nạn nhân nhấp vào hình ảnh độc hại, cửa sổ bật lên đăng nhập ví của họ sẽ xuất hiện. Một yêu cầu bất thường trên nền tảng, nơi không cần nhận dạng để xem hình ảnh, nhưng yêu cầu đăng nhập này là cần thiết cho nhiều hành động khác, nạn nhân vẫn có thể thực hiện theo thói quen. Để lấy lại tiền, kẻ tấn công phải đưa ra cửa sổ bật lên thứ hai yêu cầu nạn nhân ký giao dịch giữa hai tài khoản của họ. Check Point lưu ý rằng các cửa sổ bật lên này là tiêu chuẩn trên các nền tảng và bằng cách không đọc kỹ, nạn nhân có thể xác nhận hành động, một lần nữa do thói quen.
Lỗ hổng bảo mật được khắc phục trong một giờ
Lỗ hổng này nguy hiểm vì hai lý do. Đầu tiên, các URL hình ảnh được mở trong một tab mới sử dụng miền phụ của OpenSea. Đây cũng là trường hợp của trang HTML được nhúng bởi những kẻ tấn công nhờ vào