Les bogues de la plate-forme OpenSea NFT permettent-ils aux pirates de voler des portefeuilles cryptographiques ?

  • Principal
  • Nouvelles
  • Les bogues de la plate-forme OpenSea NFT permettent-ils aux pirates de voler des portefeuilles cryptographiques ?

crédit image : Kerfin7

Les chercheurs en sécurité ont découvert qu'un attaquant pouvait laisser les propriétaires de comptes OpenSea avec un solde de crypto-monnaie vide en les incitant à cliquer sur de l'art NFT malveillant.

Avec un volume de transactions de 3,4 milliards de dollars, OpenSea est le plus grand marché au monde pour l'achat, la vente et la vente aux enchères de jetons non fongibles (NFT) et d'autres actifs numériques et objets de collection.

Approuver les demandes sans examen

Des détails sont apparus aujourd'hui sur un problème sur la plate-forme OpenSea qui permet aux pirates de détourner des comptes d'utilisateurs et de voler les portefeuilles de crypto-monnaie associés.

La méthode d'attaque est aussi simple que de créer un NFT avec une charge utile malveillante et d'attendre qu'une victime morde dedans et la voie.

De plus en plus d'utilisateurs ont signalé des portefeuilles de crypto-monnaie vides après avoir reçu des cadeaux sur le marché OpenSea, une tactique de marketing connue sous le nom de ' airdropping ' et utilisée pour promouvoir de nouveaux actifs virtuels.

Attirés par ces comptes, les chercheurs de la société de cybersécurité Check Point ont décidé d'examiner de plus près le fonctionnement de la plateforme et de rechercher des vulnérabilités.

Un compte OpenSea nécessite un portefeuille de crypto-monnaie tiers à partir d'une liste prise en charge par la plateforme. L'un des plus populaires est MetaMask, qui est également celui choisi par les chercheurs.

La communication avec le portefeuille se produit pour toute action sur le compte, y compris aimer l'art dans le système, ce qui déclenche une demande d'accès au portefeuille.

La plateforme OpenSea permet à quiconque de vendre de l'art numérique, qui peut contenir des fichiers jusqu'à 40 Mo avec l'une des extensions suivantes : JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.

Sachant cela, Check Point a téléchargé une image SVG sur le système OpenSea qui contenait du code JavaScript malveillant. En cliquant dessus pour l'ouvrir dans un nouvel onglet, ils ont remarqué que le fichier fonctionnait sur le sous-domaine 'storage.opensea.io'.

Ils ont également ajouté un iFrame à l'image SVG pour charger le code HTML qui injecterait le 'window.ethereum' nécessaire pour ouvrir la communication avec le portefeuille Ethereum de la victime.

'Dans notre scénario d'attaque, l'utilisateur est invité à signer avec son portefeuille après avoir cliqué sur une image reçue d'un tiers, ce qui est un comportement inattendu dans OpenSea, car il n'est pas lié aux services fournis par la plateforme OpenSea, comment acheter un élément. , enchérissant ou privilégiant un objet' - Check Point

L'abus de la fonctionnalité du portefeuille se fait via l'API Ethereum RPC, qui initie la communication avec MetaMask et ouvre la fenêtre contextuelle pour la connexion au portefeuille.

Un attaquant avait alors besoin que la victime interagisse avec la fenêtre contextuelle légitime afin d'effectuer des actions au nom de la victime.

Les chercheurs notent qu'une autre fenêtre contextuelle de demande de signature était nécessaire pour que le pirate puisse introduire la crypto-monnaie dans le portefeuille.

Cependant, cela n'aurait pas été un gros problème, car de telles demandes 'apparaissent souvent comme un avertissement système' et les utilisateurs sont susceptibles d'approuver la transaction sans lire le message.

Avec une domination transactionnelle de la plate-forme OpenSea et les actions que les victimes voient souvent avec d'autres opérations NFT, il est facile de voir comment les utilisateurs pourraient être victimisés.

Dans un rapport publié aujourd'hui, les chercheurs de Check Point ont résumé l'attaque comme suit :

  • Le pirate crée et fournit un NFT malveillant à une victime ciblée.
  • La victime voit le NFT malveillant, qui déclenche une fenêtre contextuelle à partir du domaine de stockage OpenSea, demandant une connexion au portefeuille de crypto-monnaie de la victime.
  • La victime clique pour connecter son portefeuille et effectuer l'action sur le NFT surdoué, permettant ainsi l'accès au portefeuille de la victime.
  • Le pirate peut récupérer l'argent dans le portefeuille en déclenchant une fenêtre contextuelle supplémentaire, également envoyée par le domaine de stockage OpenSea. La victime est susceptible de cliquer sur la fenêtre pop-up sans lire la note décrivant la transaction.

Les chercheurs de Check Point ont informé OpenSea de leurs découvertes le 26 septembre. Les deux parties ont travaillé ensemble pour résoudre le problème et OpenSea a trouvé une solution dans l'heure suivant la divulgation responsable.

OpenSea dit qu'il n'a pas été en mesure d'identifier les cas où les attaquants ont exploité cette vulnérabilité, mais ils continuent de sensibiliser et d'éduquer la communauté sur les meilleures pratiques de sécurité et comment repérer les escroqueries et les tentatives de phishing.

Qu'est-ce que tu penses?