Los errores de la plataforma OpenSea NFT permiten a los piratas informáticos robar carteras criptográficas

crédito de la imagen: Kerfin7

Los investigadores de seguridad descubrieron que un atacante podría dejar a los propietarios de cuentas de OpenSea con un saldo de criptomonedas vacío al atraerlos a hacer clic en el arte NFT malicioso.

Con un volumen de transacciones de $ 3.4 mil millones, OpenSea es el mercado más grande del mundo para la compra, venta y subasta de tokens no fungibles (NFT) y otros activos digitales y coleccionables.

Aprobar solicitudes sin revisión

Hoy surgieron detalles sobre un problema en la plataforma OpenSea que permite a los piratas informáticos secuestrar cuentas de usuario y robar carteras de criptomonedas asociadas.

El método de ataque es tan simple como crear un NFT con una carga útil maliciosa y esperar a que una víctima lo muerda y lo vea.

Más usuarios han informado carteras de criptomonedas vacías después de recibir regalos en el mercado OpenSea, una táctica de marketing conocida como "airdropping" y utilizada para promover nuevos activos virtuales.

Usuarios que informan carteras vacías después del airdrop de NFT

Atraídos por estas cuentas, los investigadores de la firma de ciberseguridad Check Point decidieron analizar más de cerca cómo funciona la plataforma y buscar vulnerabilidades.

Una cuenta OpenSea requiere una billetera de criptomonedas de terceros de una lista compatible con la plataforma. Uno de los más populares es MetaMask, que también es el elegido por los investigadores.

La comunicación con la billetera se produce para cualquier acción en la cuenta, incluido el gusto por el arte en el sistema, que desencadena una solicitud de acceso a la billetera.

El gusto por el arte en OpenSea activa el acceso a la billetera MetaMask

La plataforma OpenSea permite a cualquiera vender arte digital, que puede contener archivos de hasta 40 MB con una de las siguientes extensiones: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.

Sabiendo esto, Check Point cargó una imagen SVG en el sistema OpenSea que contenía código JavaScript malicioso. Al hacer clic en él para abrirlo en una nueva pestaña, notaron que el archivo se ejecutaba en el subdominio "storage.opensea.io".

También agregaron un iFrame a la imagen SVG para cargar el código HTML que inyectaría el "window.ethereum" necesario para abrir la comunicación con la billetera Ethereum de la víctima.

"En nuestro escenario de ataque, se le pide al usuario que firme con su billetera después de hacer clic en una imagen recibida de un tercero, lo cual es un comportamiento inesperado en OpenSea, ya que no está relacionado con los servicios brindados por la plataforma OpenSea, como comprar un artículo. , haciendo una oferta o favoreciendo un artículo "- Check Point

El abuso de la funcionalidad de la billetera se realiza a través de Ethereum RPC-API, que inicia la comunicación con MetaMask y abre la ventana emergente para la conexión a la billetera.

Luego, un atacante necesitaba que la víctima interactuara con la ventana emergente legítima para poder realizar acciones en nombre de la víctima.

Los investigadores señalan que se necesitaba otra ventana emergente de solicitud de firma para que el pirata informático obtuviera la criptomoneda en la billetera.

Sin embargo, esto no habría sido un gran problema, ya que tales solicitudes "a menudo aparecen como una advertencia del sistema" y es probable que los usuarios aprueben la transacción sin leer el mensaje.

OpenSea NFT activa la ventana emergente para conectarse con MetaMask

Con un dominio de transacción de la plataforma OpenSea y la acción que las víctimas suelen ver con otras operaciones de NFT, es fácil ver cómo los usuarios podrían ser víctimas.

En un informe de hoy, los investigadores de Check Point resumieron el ataque de la siguiente manera:

  • El pirata informático crea y proporciona un NFT malicioso a una víctima objetivo.
  • La víctima ve el NFT malicioso, lo que activa una ventana emergente desde el dominio de almacenamiento de OpenSea, solicitando conexión a la billetera de criptomonedas de la víctima.
  • La víctima hace clic para conectar su billetera y realizar la acción en el NFT dotado, permitiendo así el acceso a la billetera de la víctima.
  • El pirata informático puede obtener el dinero en la billetera activando una ventana emergente adicional, también enviada por el dominio de almacenamiento de OpenSea. Es probable que la víctima haga clic en la ventana emergente sin leer la nota que describe la transacción.

Los investigadores de Check Point informaron a OpenSea de sus hallazgos el 26 de septiembre. Las dos partes trabajaron juntas para abordar el problema y OpenSea encontró una solución dentro de una hora de la divulgación responsable.

OpenSea dice que no ha podido identificar ninguna instancia en la que los atacantes explotaran esta vulnerabilidad, pero continúan creando conciencia y educando a la comunidad sobre las mejores prácticas de seguridad y cómo detectar estafas e intentos de phishing.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir