up_icon
Security

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

13 Οκτωβρίου 2021 Techgear Team

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

Λόγω της παρατήρησης αναφορών για την κλοπή crypto wallets που ενεργοποιήθηκε από δωρεάν NFTs, η Check Point Research (CPR) διερεύνησε την OpenSea, το μεγαλύτερο στον κόσμο NFT marketplace. Η έρευνα οδήγησε στην ανακάλυψη κρίσιμων τρωτών σημείων στην ασφάλεια της πλατφόρμας της OpenSea, τα οποία - αν αξιοποιούνταν - θα επέτρεπαν στους χάκερς την κατάληψη λογαριασμών χρηστών και την κλοπή των crypto wallets τους, με την αποστολή κακόβουλων NFTs.

  • Τα ευρήματα της έρευνας της CPR απέτρεψαν τις κλοπές των crypto wallets χρηστών
  • Η CPR επέλεξε να ερευνήσει την OpenSea μετά την παρατήρηση αναφορών για κλεμμένα crypto wallets στο διαδίκτυο
  • Η CPR απέδειξε ότι η κλοπή crypto wallets χρηστών ήταν εφικτή, εφόσον αξιοποιούνταν κρίσιμα κενά ασφαλείας που εντοπίστηκαν στην πλατφόρμα της OpenSea
  • Η CPR επικοινώνησε άμεσα τα ευρήματα στην OpenSea, η οποία προχώρησε στην ανάπτυξη μιας διόρθωσης σε λιγότερο από μία ώρα από την αποκάλυψη

Η Check Point Research (CPR) εντόπισε κρίσιμα κενά ασφαλείας στην OpenSea. Αν αυτά δεν είχαν επιδιορθωθεί θα μπορούσαν, με τη δημιουργία κακόβουλων NFTs, να επιτρέψουν στους χάκερ να υποκλέψουν λογαριασμούς χρηστών και crypto wallets. Η OpenSea είναι γνωστή ως το μεγαλύτερη marketplace NFT στον κόσμο, καταγράφοντας όγκο συναλλαγών ύψους $3,4 δισεκατομμυρίων δολαρίων μόνο τον Αύγουστο του 2021.

Αναφορές για εξαπολυμένα Κακόβουλα NFTs

Η έρευνα της CPR για την OpenSea προκλήθηκε από αναφορές για δωρεάν NFTs που φέρεται να προσφέρθηκαν ως δώρο σε χρήστες. Η έρευνα οδήγησε σε επικοινωνία της CPR με ένα θύμα κλεμμένου πορτοφολιού κρυπτονομισμάτων, το οποίο επιβεβαίωσε την αλληλεπίδραση του με ένα αντικείμενο που στάλθηκε από το πουθενά - όπως δήλωσε - πριν την κλοπή.

Η Μεθοδολογία που Χρησιμοποίησαν

Η CPR μπόρεσε να εντοπίσει κρίσιμα κενά ασφαλείας στην OpenSea, αποδεικνύοντας ότι ένα κακόβουλο NFT θα μπορούσε να χρησιμοποιηθεί για να υποκλέψει λογαριασμούς και να κλέψει πορτοφόλια κρυπτογραφημάτων. Η επιτυχής εκμετάλλευση των ευπαθειών απαιτούσε τα ακόλουθα βήματα:

  • Ο χάκερ δημιουργεί και χαρίζει ένα κακόβουλο NFT σε ένα θύμα-στόχο.
  • Το θύμα βλέπει το κακόβουλο NFT με την ενεργοποίηση ενός αναδυόμενο παράθυρου από το storage domain της OpenSea, το οποίο ζητά να συνδεθεί με το πορτοφόλι κρυπτονομισμάτων του θύματος (τέτοια αναδυόμενα παράθυρα είναι συνηθισμένα στην πλατφόρμα σε διάφορες άλλες δραστηριότητες)
  • Το θύμα κάνει κλικ για να συνδέσει το πορτοφόλι του, προκειμένου να ενεργοποιήσει το NFT δώρο, επιτρέποντας έτσι την πρόσβαση στο πορτοφόλι του.
  • Ο χάκερ μπορεί να πάρει τα χρήματα στο πορτοφόλι ενεργοποιώντας ένα πρόσθετο αναδυόμενο παράθυρο, το οποίο αποστέλλεται επίσης από το storage domain της OpenSea, στο οποίο ο χρήστης, εάν δεν παρατηρήσει τη σημείωση που περιγράφει τη συναλλαγή σε αυτό, μπορεί εύκολα να κάνει κλικ.
  • Το τελικό αποτέλεσμα θα μπορούσε να είναι η εξ'ολοκλήρου κλοπή του πορτοφολιού κρυπτονομισμάτων ενός χρήστη

Responsible Disclosure

Η CPR αποκάλυψε αμέσως και υπεύθυνα τα ευρήματά της στην OpenSea, την Κυριακή 26 Σεπτεμβρίου 2021. Σε λιγότερο από μία ώρα από την αποκάλυψη, η OpenSea διόρθωσε το πρόβλημα και επαλήθευσε τη διόρθωση. Η CPR συνεργάστηκε στένα με την ομάδα της OpenSea για να διασφαλίσει ότι η διόρθωση λειτούργησε σωστά. Η OpenSea ανταποκρίθηκε πολύ καλά και μοιράστηκε αρχεία svg που περιείχαν iframe από το storage domain της, ώστε η CPR να μπορέσει να επανεξετάσει από κοινού και να βεβαιωθεί ότι έχουν κλείσει όλοι οι φορείς επίθεσης.

Πως να Προστατευθείτε

Η CPR συνιστά να είστε προσεκτικοί όταν λαμβάνετε αιτήματα για να δώσετε πρόσβαση στο online πορτοφόλι σας. Πριν εγκρίνετε ένα αίτημα, θα πρέπει να εξετάσετε προσεκτικά τι ζητείται και να εξετάσετε αν το αίτημα είναι περίεργο ή ύποπτο. Εάν έχετε αμφιβολίες, θα πρέπει να απορρίψετε το αίτημα και να το εξετάσετε περαιτέρω, προτού δώσετε την εν λόγω εξουσιοδότηση.

Όπως δήλωσε ο Oded Vanunu, Head of Products Vulnerabilities Research, Check Point Software,

Το ενδιαφέρον μας για την OpenSea προκλήθηκε όταν είδαμε στο διαδίκτυο συζητήσεις για κλεμμένα πορτοφόλια κρυπτονομισμάτων. Υποθέσαμε ότι υπήρχε μια μέθοδος επίθεσης γύρω από την OpenSea, οπότε ξεκινήσαμε μια ενδελεχή έρευνα της πλατφόρμας της. Το αποτέλεσμα ήταν η ανακάλυψη ενός τρόπου κλοπής πορτοφολιών κρυπτονομισμάτων των χρηστών, απλά με την αποστολή ενός κακόβουλου NFT μέσω της OpenSea. Κοινοποιήσαμε αμέσως και υπεύθυνα τα ευρήματά μας στην OpenSea, η οποία συνεργάστηκε γρήγορα μαζί μας για την ανάπτυξη μιας διόρθωσης. Πιστεύω ότι τα ευρήματα της έρευνάς μας και η γρήγορη δράση της OpenSea θα αποτρέψουν τις κλοπές crypto wallets των χρηστών. Η καινοτομία blockchain βρίσκεται σε ταχεία εξέλιξη και τα NFTs ήρθαν για να μείνουν. Δεδομένου του σταθερού ρυθμού της καινοτομίας, υπάρχει μια εγγενής πρόκληση στην ασφαλή ενσωμάτωση εφαρμογών λογισμικού και crypto markets. Οι κακοποιοί γνωρίζουν ότι έχουν αυτή τη στιγμή ένα ανοιχτό παράθυρο προς εκμετάλλευση, λόγω της αυξανόμενης ζήτησης από τους καταναλωτές και της έλλειψης μέτρων ασφαλείας σε αυτόν τον χώρο, μέτρων που πρέπει να ληφθούν έγκαιρα. Η κοινότητα της ασφάλειας στον κυβερνοχώρο πρέπει να αναλάβει δράση για να βοηθήσει τις πρωτοπόρες τεχνολογίες blockchain να διασφαλίσουν τα κρυπτογραφικά περιουσιακά στοιχεία των καταναλωτών. Προειδοποιούμε αυστηρά την κοινότητα της OpenSea να προσέχει για ύποπτες δραστηριότητες που μπορεί να οδηγήσουν σε κλοπή, καθώς πιστεύουμε ότι οι κακοί παράγοντες θα συνεχίσουν να επεκτείνουν τις προσπάθειές τους, προκειμένου να καταλάβουν crypto wallets, εκμεταλλευόμενοι παράλληλα τα τρωτά σημεία του συστήματος

Δήλωση της OpenSea

Η ασφάλεια είναι θεμελιώδης για το OpenSea. Εκτιμούμε το ότι η ομάδα CPR έθεσε υπόψη μας αυτή την ευπάθεια και συνεργάστηκε μαζί μας καθώς ερευνήσαμε το θέμα και εφαρμόσαμε μια διόρθωση μέσα σε μια ώρα από την στιγμή που αυτό υπέπεσε στην αντίληψή μας. Αυτές οι επιθέσεις θα βασίζονταν στο ότι οι χρήστες ενέκριναν κακόβουλη δραστηριότητα μέσω ενός τρίτου παρόχου πορτοφολιού, συνδέοντας το πορτοφόλι τους και παρέχοντας μια υπογραφή για την κακόβουλη συναλλαγή. Δεν μπορέσαμε να εντοπίσουμε καμία περίπτωση όπου έγινε εκμετάλλευση αυτής της ευπάθειας, αλλά συντονιζόμαστε άμεσα με τα πορτοφόλια τρίτων που ενσωματώνονται στην πλατφόρμα μας σχετικά με το πώς θα βοηθήσουν τους χρήστες να εντοπίζουν καλύτερα τα κακόβουλα αιτήματα υπογραφής, καθώς και άλλες πρωτοβουλίες για να βοηθήσουμε τους χρήστες να αποτρέψουν τις απάτες και τις επιθέσεις phishing με μεγαλύτερη αποτελεσματικότητα. Επίσης, διπλασιάζουμε την εκπαίδευση της κοινότητας γύρω από τις βέλτιστες πρακτικές ασφαλείας και έχουμε ξεκινήσει μια σειρά ιστολογίων σχετικά με το πώς να παραμείνετε ασφαλείς στον αποκεντρωμένο ιστό. Ενθαρρύνουμε τόσο τους νέους χρήστες όσο και τους έμπειρους βετεράνους να τα διαβάσουν. Στόχος μας είναι να ενδυναμώσουμε την κοινότητα να εντοπίζει, να μετριάζει και να αναφέρει επιθέσεις στο οικοσύστημα blockchain, όπως αυτή που έδειξε η CPR

*Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το techgear.gr στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://www.techgear.gr/feed στο αντίστοιχο πεδίο της υπηρεσίας σας. Αν προτιμάτε το Twitter, θα μας βρείτε στο προφίλ @techgeargr.

Techgear Team

ΣΧΟΛΙΑΣΤΕ
ΣΧΟΛΙΑ
read more

Developers, attackers και designers στην κορυφή της λίστας με τις IT ειδικότητες με τη μεγαλύτερη ζήτηση στο darkweb

31 Ιανουαρίου 2023 Techgear Team

Η ομάδα Digital Footprint Intelligence της Kaspersky διερεύνησε την αγορά εργασίας του darknet. Μετά την ανάλυση 200.000 αγγελιών απασχόλησης κατά την περίοδο 2020-2022, οι ειδικοί διαπίστωσαν ότι οι ...

Η επίθεση στο LastPass είναι αρκετά πιο σοβαρή απ' ό,τι έδειχνε αρχικά

27 Ιανουαρίου 2023 Christos Elpidis

Συνεχίζονται οι έρευνες για το μεγάλο χτύπημα που δέχτηκε η γνωστή υπηρεσία password management LastPass τον περασμένο Αύγουστο και από τη νέα ενημέρωση της «μαμάς» εταιρείας GoTo φαίνεται ότι τα πράγματα είναι...

Πώς το ChatGPT αλλάζει τον κόσμο της κυβερνοασφάλειας

26 Ιανουαρίου 2023 Techgear Team

Η Kaspersky διερευνά τον τρόπο με τον οποίο η ικανότητα πρόσβασης του ευρύτερου κοινού στο ChatGPT ενδέχεται να μεταβάλει τους καθιερωμένους κανόνες του κόσμου της κυβερνοασφάλειας. Η διερεύνηση αυτή ...

1 στους 2 χρήστες κρυπτονομισμάτων έχει πέσει θύμα κυβερνοεγκλήματος

24 Ιανουαρίου 2023 Techgear Team

Η Kaspersky διερεύνησε τις κυρίαρχες τάσεις στον χώρο των κρυπτονομισμάτων, διαπιστώνοντας ότι μόλις το 25% των ερωτηθέντων ένιωθε επαρκώς ενημερωμένο σχετικά με πιθανές απειλές από τη χρήση κρυπτονομισμάτων ...

The Last of Us: Οι εγκληματίες του κυβερνοχώρου ξαφρίζουν τα πορτοφόλια των fans

12 Ιανουαρίου 2023 Techgear Team

Το "The Last of Us", μία από τις πιο πολυαναμενόμενες σειρές – η οποία βασίζεται στο ομώνυμο παιχνίδι του PlayStation - θα κυκλοφορήσει τελικά από το HBO στις 15 Ιανουαρίου του 2023. Αντιλαμβανόμενοι πως με την...

5 υγιείς ψηφιακές συνήθειες για το 2023

10 Ιανουαρίου 2023 Techgear Team

Οι πρώτες ημέρες του Ιανουαρίου αποτελούν μια ιδανική στιγμή για να αρχίσετε να υιοθετείτε υγιείς ψηφιακές συνήθειες, ενώ έχετε ακόμα χρόνο να υποσχεθείτε στον εαυτό σας ότι θα επιχειρήσετε να τις τηρήσετε κατά...

LastPass: Στα χέρια των hackers δεδομένα από τα vaults των χρηστών!

23 Δεκεμβρίου 2022 Christos Elpidis

Όσοι παρακολουθείτε στενά τις ειδήσεις που αφορούν την κυβερνοασφάλεια (και πολύ καλά κάνετε θα πούμε εμείς), σίγουρα θα θυμάστε τα δύο πρόσφατα χτυπήματα στο LastPass, την δημοφιλή υπηρεσία password manager. ...

8 δώρα για την ψηφιακή προστασία των αγαπημένων σου

22 Δεκεμβρίου 2022 Techgear Team

Αρκετοί έχουμε πλέον συνειδητοποιήσει ότι υπάρχουν ψηφιακοί κίνδυνοι και ότι η προστασία των προσωπικών μας δεδομένων είναι ιδιαίτερα σημαντική. Αρκετοί γνωρίζουμε πλέον ότι τα προσωπικά μας δεδομένα έχουν ...

Οι τάσεις στην κυβερνοασφάλεια το 2023: Προστατεύοντας την υβριδική ζωή μας

19 Δεκεμβρίου 2022 Techgear Team

Οι προβλέψεις της ESET για τις τάσεις στην ψηφιακή ασφάλεια το 2023 υποδεικνύουν ότι οι αλλαγές στην ανθρώπινη συμπεριφορά στο διαδίκτυο, οι οποίες εκφράζονται τόσο στην επαγγελματική όσο και στην προσωπική μας...

Τα φθηνά gadget στο στόχαστρο του stalkerware

15 Δεκεμβρίου 2022 Techgear Team

Με την υπόθεση των γυναικών που μήνυσαν την Apple για παρακολούθηση μέσω AirTags να βρίσκεται στην επικαιρότητα, ο Vladimir Dashchenko, Security Evangelist στην Kaspersky, αναλύει το ευρύτερο τοπίο σχετικά με ...

Loader
please wait
techgear_icon