Một lỗ hổng trên OpenSea cho phép tin tặc làm rỗng ví của tiền điện tử
người dùng nền tảng.
Những kẻ tấn công đã cung cấp các NFT chứa mã độc hại cho nạn nhân của chúng để họ có thể truy cập vào tài khoản của mình ngay sau khi nhấp vào chúng.
Cần một hình ảnh độc hại đơn giản
Trên Twitter
, một số người dùng OpenSea, nền tảng mua và bán NFT phổ biến, đã báo cáo rằng họ đã mất nội dung trong ví tiền điện tử của mình sau khi chấp nhận một món quà trên nền tảng này. Sau những lời chứng thực này, các nhà nghiên cứu từ Check Point quyết định xem xét vấn đề và tìm ra lỗ hổng.
Bước đầu tiên cần thiết để cuộc tấn công hoạt động, hãy tạo một NFT độc hại. OpenSea cho phép bất kỳ ai tải lên hình ảnh để tạo NFT, vì vậy các nhà nghiên cứu đã chọn hình ảnh ở định dạng SVG. Họ đã thêm mã JavaScript độc hại vào nó cũng như iFrame tải HTML và cấp cho họ quyền truy cập vào “window.ethereum”, cần thiết để có thể thiết lập liên lạc với ví của nạn nhân.
Bước hai, yêu cầu người dùng đăng nhập vào ví của họ. Nếu nạn nhân nhấp vào hình ảnh độc hại, cửa sổ bật lên đăng nhập ví của họ sẽ xuất hiện. Một yêu cầu bất thường trên nền tảng, nơi không cần nhận dạng để xem hình ảnh, nhưng yêu cầu đăng nhập này là cần thiết cho nhiều hành động khác, nạn nhân vẫn có thể thực hiện theo thói quen. Để lấy lại tiền, kẻ tấn công phải đưa ra cửa sổ bật lên thứ hai yêu cầu nạn nhân ký giao dịch giữa hai tài khoản của họ. Check Point lưu ý rằng các cửa sổ bật lên này là tiêu chuẩn trên các nền tảng và bằng cách không đọc kỹ, nạn nhân có thể xác nhận hành động, một lần nữa do thói quen.
Lỗ hổng bảo mật được khắc phục trong một giờ
Lỗ hổng này nguy hiểm vì hai lý do. Đầu tiên, các URL hình ảnh được mở trong một tab mới sử dụng miền phụ của OpenSea. Đây cũng là trường hợp của trang HTML được nhúng bởi những kẻ tấn công nhờ vào
Check Point đã chia sẻ những phát hiện của mình với OpenSea vào ngày 26 tháng 9. Nền tảng này đã phản ứng rất nhanh, vá lỗ hổng một giờ sau khi công ty được thông báo. Về phần mình, OpenSea cho biết ” không thể xác định các trường hợp lỗ hổng này đã bị khai thác nhưng để tiếp tục làm việc với các đối tác của mình để bảo vệ người dùng và giáo dục họ về những rủi ro mà họ gặp phải.
Các nhà nghiên cứu của Check Point tiếp tục khuyên bạn nên hết sức thận trọng khi đăng nhập vào ví của mình trên các trang web và đọc kỹ bất kỳ yêu cầu giao dịch nào trước khi phê duyệt. Giữa loại lỗ hổng này và các trò gian lận tiềm ẩn hiện diện trên các nền tảng, do đó, sự không tin cậy đôi khi phù hợp với NFT.
Nguồn: BleepingComputer
, điểm kiểm tra