OpenSea устранила баг, позволявший красть криптовалюту с помощью NFT

Команда OpenSea оперативно устранила уязвимость, которая позволяла украсть цифровые валюты при помощи “зараженных” невзаимозаменяемых токенов, размещенных на платформе.

Благодаря сотрудничеству с группой исследователей Check Point Research, команда крупнейшего NFT-маркетплейса сумела устранить опасный эксплоит. Убедившись в том, что баг был исправлен и из-за него никто не пострадал, представители OpenSea раскрыли алгоритм кражи криптовалют злоумышленником.

Хакер создавал NFT-подарок с внедренным в него вредоносным SVG-файлом (Scalable Vector Graphics), представляющим собой векторную графику - интерактивный вид картинки, способный запускать определенные сценарии. Если жертва кликнула правой кнопкой мышки по вредоносному изображению NFT, открыв его в новой вкладке или окне, SVG-файл запускал всплывающее окно в виде стандартного окна программного кошелька. Это делалось с помощью скрипта, который проверял устройство жертвы на наличие криптокошелька в виде расширения для браузера - например, MetaMask. После чего, “псевдо-расширение” запрашивало доступ к storage.opensea.io. Если пользователь соглашался, злоумышленник потенциально мог получить доступ к криптовалютам, хранящимся на его программном кошельке.

Разумеется, сторонние изображения, размещенные на OpenSea, никогда не делают запрос на подключение к кошельку пользователя. И уж тем более, просить какое-либо подтверждение на осуществление транзакции в виде цифровых валют, либо NFT. Все предметы, переданные в ходе подобных подозрительных действий, отправляются прямиком к злоумышленникам. Поэтому пользователям стоит настоятельно рекомендуется отказаться от подобных транзакций и разрешений даже для проверенных расширений популярных веб-браузеров, если те просят доступ к OpenSea.

Исследователи Check Point Research представили свой баг-репорт еще 26 сентября, после чего команда OpenSea всего в течение часа сумела устранить угрозу. В решении проблемы также помог независимый эксперт по безопасности Джей Ниффли, сообщив об ошибке, связанной с расширениями и доменом storage.opensea.io.

Всего в ходе проверки было проанализировано больше 73 миллионов объектов и 4,4 миллиона SVG-файлов, из которых лишь 77 оказались косвенно связанными с выявленной уязвимостью. После исправления команда платформы совместно с группой Check Point Research еще раз внимательно изучила сервис на присутствие вредоносных NFT, чтобы удостовериться в их отсутствии.

Ни единой кражи за время присутствия бага обнаружено не было. Поэтому можно с уверенностью сказать, что специалисты быстро устранили ошибку, минимизировав возможные последствия.

Твори историю, торгуй и зарабатывай на OpenSea

Подписывайтесь на наш Telegram, Twitter, Facebook, чтобы первыми узнавать новости криптовалют!

Coin Shark не несет ответственности за содержание, точность, качество, рекламу, продукты или любой другой контент, размещенный на сайте. Данная статья носит информационный характер, подготовлена ​​на основе материалов и информации из открытых источников. Криптовалюта — актив с высоким риском, вложения в нее могут привести к убыткам. Прежде чем предпринимать какие-либо действия, читатели должны провести собственное исследование.