Resim Kredi: Kerfin7
Güvenlik araştırmacıları, bir saldırganın, kötü niyetli NFT sanatına tıklamalarını engelleyerek openensea hesabı sahiplerini boş bir kriptokurans dengesiyle bırakabileceğini buldular.
3.4 milyar dolarlık işlem hacminde OpenSea, funik olmayan belirteçleri (NFT'ler) ve diğer dijital varlıkları ve koleksiyonları satın almak, satmak ve açık artırmak için dünyanın en büyük pazar yeridir.
Ayrıntılar bugün, hackerların kullanıcı hesaplarını kullanmasına izin veren ve ilişkili kriptokurans cüzdanlarını çalmasına izin veren openensea platformunda bir sorun hakkında ortaya çıktı.
Saldırı yöntemi, kötü niyetli bir yükle bir NFT oluşturmak ve bir kurbanın yem almasını ve görmesini beklemek kadar basittir.
Birden fazla kullanıcı, "Airdropping" olarak bilinen ve yeni sanal varlıkları tanıtmak için kullanılan bir pazarlama taktiği olan OpenSea pazarında hediyeler aldıktan sonra boş şifreleme cüzdanlarını bildirdi.
Bu hesaplar tarafından başlayanlar, Siber Güvenlik Şirketi Kontrol Noktası'ndaki araştırmacılar, platformun nasıl çalıştığına ve güvenlik açıklarını nasıl kontrol etmeye başlamaya karar verdi.
Bir OpenSea hesabı, platformun desteklediği bir listeden üçüncü taraf bir Cryptocurrency cüzdanı gerektirir. En popüler olanlardan biri, aynı zamanda araştırmacıların da seçtiğini de olan Metamask.
Cüzdanla iletişim, sistemdeki sevme sanatı dahil olmak üzere herhangi bir eylem için meydana gelir, bu da bir cüzdan oturum açma talebi tetikler.
OpenSea platformu, kimsenin, aşağıdaki uzantılardan herhangi biriyle 40 MB kadar büyük olan dijital sanat satmasını sağlar: JPG, PNG, GIF, SVG, MP4, Webm, MP3, WAV, OGG, GLB, GLTF.
Bunu bilerek, OpenSea sistemine yüklenen kontrol noktası, kötü amaçlı JavaScript kodunu taşıyan bir SVG görüntüsü. Yeni bir sekmede açmak için üzerine tıkladığınızda, dosyanın 'Depolama.Opensea.io' alt etki alanı altında yürütüldüğünü fark ettiler.
Ayrıca, kurbanın EtHereum cüzdanıyla iletişim kurmak için gerekli olan "window.ethereum" nı enjekte edecek HTML kodunu yüklemek için SVG görüntüsüne bir IFrame eklediler.
"Saldırı senaryomuzda, kullanıcının, OpenSea platformu tarafından sağlanan hizmetler, bir öğe satın almak gibi hizmetler için uygun olmadığı için, OpenSea Platformu tarafından sağlanan hizmetler için korelasyon yapmadığı için, bir üçüncü taraftan alınan bir resme tıkladıktan sonra, kullanıcının cüzdanları ile imzalamaları istenir. Bir teklif yapmak veya bir öğeyi tercih etmek "- Kontrol Noktası
Cüzdan işlevselliğini kötüye kullanmak, metamask ile iletişimi başlatan ve cüzdana bağlanmak için açılır pencereyi açan ve açılır pencereyi açan ETHERYUM RPC-API'sinden yapılır.
Saldırgan daha sonra mağdurun meşru açılır pencereyle etkileşime girmesi gerektiğinde kurban adına eylemler yapabileceklerdi.
Araştırmacılar, bilgisayar korsanının cüzdanın cryptocurrency'ı alması için başka bir imza isteği açılır penceresinin gerekli olduğunu unutmayın.
Bu, "genellikle bir sistem bildirimi olarak göründüğü", bu tür bir sorun olmazdı, çünkü kullanıcıların mesajı okumadan işlemi onaylamaları muhtemeldir.
OpenSea platformundan bir işlem alanı ve mağdurların tipik olarak diğer NFT operasyonlarıyla gördüğü eylemle, kullanıcıların mağdurları nasıl düşebileceğini görmek kolaydır.
Bugün bir raporda, kontrol noktası araştırmacıları saldırıyı aşağıdaki gibi özetledi:
Kontrol noktası araştırmacılarının 26 Eylül'de bulgularının openlerine bilgilendirildi. İki taraf sorunu ele almak için işbirliği yaptı ve openensea sorumlu açıklamadan bir saatten az bir çözümle geldi.
OpenSea, saldırganların bu kırılganlığı kullandığı fakat bir farkındalık yaratmaya ve toplumu en iyi güvenlik uygulamaları ve dolandırıcılık ve kimlik avı girişimlerinde nasıl eğitilebileceği konusunda farkındalık yaratmaya ve eğitimi almaya devam edebileceklerini söylüyor.
Sahte OpenSea Destek Personeli Cryptowallets ve NFTS çalıyor
Mykings botnet hala aktif ve büyük miktarda para kazandırıyor
Crypto platformu yanlışlıkla kullanıcılara 90 milyon dolar veriyor, geri ödeme istedi
Ukrayna, Cryptocurrency yatırımcı dolandırıcılığının arkasındaki çağrı merkezlerini alır.
Kötü niyetli 'Safepal Cüzdan' Firefox Eklentisi Cryptocurrency Stole
Kaynak: Bleeping Computer