up_icon
Security

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

13 Οκτωβρίου 2021 Techgear Team

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

Λόγω της παρατήρησης αναφορών για την κλοπή crypto wallets που ενεργοποιήθηκε από δωρεάν NFTs, η Check Point Research (CPR) διερεύνησε την OpenSea, το μεγαλύτερο στον κόσμο NFT marketplace. Η έρευνα οδήγησε στην ανακάλυψη κρίσιμων τρωτών σημείων στην ασφάλεια της πλατφόρμας της OpenSea, τα οποία - αν αξιοποιούνταν - θα επέτρεπαν στους χάκερς την κατάληψη λογαριασμών χρηστών και την κλοπή των crypto wallets τους, με την αποστολή κακόβουλων NFTs.

  • Τα ευρήματα της έρευνας της CPR απέτρεψαν τις κλοπές των crypto wallets χρηστών
  • Η CPR επέλεξε να ερευνήσει την OpenSea μετά την παρατήρηση αναφορών για κλεμμένα crypto wallets στο διαδίκτυο
  • Η CPR απέδειξε ότι η κλοπή crypto wallets χρηστών ήταν εφικτή, εφόσον αξιοποιούνταν κρίσιμα κενά ασφαλείας που εντοπίστηκαν στην πλατφόρμα της OpenSea
  • Η CPR επικοινώνησε άμεσα τα ευρήματα στην OpenSea, η οποία προχώρησε στην ανάπτυξη μιας διόρθωσης σε λιγότερο από μία ώρα από την αποκάλυψη

Η Check Point Research (CPR) εντόπισε κρίσιμα κενά ασφαλείας στην OpenSea. Αν αυτά δεν είχαν επιδιορθωθεί θα μπορούσαν, με τη δημιουργία κακόβουλων NFTs, να επιτρέψουν στους χάκερ να υποκλέψουν λογαριασμούς χρηστών και crypto wallets. Η OpenSea είναι γνωστή ως το μεγαλύτερη marketplace NFT στον κόσμο, καταγράφοντας όγκο συναλλαγών ύψους $3,4 δισεκατομμυρίων δολαρίων μόνο τον Αύγουστο του 2021.

Αναφορές για εξαπολυμένα Κακόβουλα NFTs

Η έρευνα της CPR για την OpenSea προκλήθηκε από αναφορές για δωρεάν NFTs που φέρεται να προσφέρθηκαν ως δώρο σε χρήστες. Η έρευνα οδήγησε σε επικοινωνία της CPR με ένα θύμα κλεμμένου πορτοφολιού κρυπτονομισμάτων, το οποίο επιβεβαίωσε την αλληλεπίδραση του με ένα αντικείμενο που στάλθηκε από το πουθενά - όπως δήλωσε - πριν την κλοπή.

Η Μεθοδολογία που Χρησιμοποίησαν

Η CPR μπόρεσε να εντοπίσει κρίσιμα κενά ασφαλείας στην OpenSea, αποδεικνύοντας ότι ένα κακόβουλο NFT θα μπορούσε να χρησιμοποιηθεί για να υποκλέψει λογαριασμούς και να κλέψει πορτοφόλια κρυπτογραφημάτων. Η επιτυχής εκμετάλλευση των ευπαθειών απαιτούσε τα ακόλουθα βήματα:

  • Ο χάκερ δημιουργεί και χαρίζει ένα κακόβουλο NFT σε ένα θύμα-στόχο.
  • Το θύμα βλέπει το κακόβουλο NFT με την ενεργοποίηση ενός αναδυόμενο παράθυρου από το storage domain της OpenSea, το οποίο ζητά να συνδεθεί με το πορτοφόλι κρυπτονομισμάτων του θύματος (τέτοια αναδυόμενα παράθυρα είναι συνηθισμένα στην πλατφόρμα σε διάφορες άλλες δραστηριότητες)
  • Το θύμα κάνει κλικ για να συνδέσει το πορτοφόλι του, προκειμένου να ενεργοποιήσει το NFT δώρο, επιτρέποντας έτσι την πρόσβαση στο πορτοφόλι του.
  • Ο χάκερ μπορεί να πάρει τα χρήματα στο πορτοφόλι ενεργοποιώντας ένα πρόσθετο αναδυόμενο παράθυρο, το οποίο αποστέλλεται επίσης από το storage domain της OpenSea, στο οποίο ο χρήστης, εάν δεν παρατηρήσει τη σημείωση που περιγράφει τη συναλλαγή σε αυτό, μπορεί εύκολα να κάνει κλικ.
  • Το τελικό αποτέλεσμα θα μπορούσε να είναι η εξ'ολοκλήρου κλοπή του πορτοφολιού κρυπτονομισμάτων ενός χρήστη

Responsible Disclosure

Η CPR αποκάλυψε αμέσως και υπεύθυνα τα ευρήματά της στην OpenSea, την Κυριακή 26 Σεπτεμβρίου 2021. Σε λιγότερο από μία ώρα από την αποκάλυψη, η OpenSea διόρθωσε το πρόβλημα και επαλήθευσε τη διόρθωση. Η CPR συνεργάστηκε στένα με την ομάδα της OpenSea για να διασφαλίσει ότι η διόρθωση λειτούργησε σωστά. Η OpenSea ανταποκρίθηκε πολύ καλά και μοιράστηκε αρχεία svg που περιείχαν iframe από το storage domain της, ώστε η CPR να μπορέσει να επανεξετάσει από κοινού και να βεβαιωθεί ότι έχουν κλείσει όλοι οι φορείς επίθεσης.

Πως να Προστατευθείτε

Η CPR συνιστά να είστε προσεκτικοί όταν λαμβάνετε αιτήματα για να δώσετε πρόσβαση στο online πορτοφόλι σας. Πριν εγκρίνετε ένα αίτημα, θα πρέπει να εξετάσετε προσεκτικά τι ζητείται και να εξετάσετε αν το αίτημα είναι περίεργο ή ύποπτο. Εάν έχετε αμφιβολίες, θα πρέπει να απορρίψετε το αίτημα και να το εξετάσετε περαιτέρω, προτού δώσετε την εν λόγω εξουσιοδότηση.

Όπως δήλωσε ο Oded Vanunu, Head of Products Vulnerabilities Research, Check Point Software,

Το ενδιαφέρον μας για την OpenSea προκλήθηκε όταν είδαμε στο διαδίκτυο συζητήσεις για κλεμμένα πορτοφόλια κρυπτονομισμάτων. Υποθέσαμε ότι υπήρχε μια μέθοδος επίθεσης γύρω από την OpenSea, οπότε ξεκινήσαμε μια ενδελεχή έρευνα της πλατφόρμας της. Το αποτέλεσμα ήταν η ανακάλυψη ενός τρόπου κλοπής πορτοφολιών κρυπτονομισμάτων των χρηστών, απλά με την αποστολή ενός κακόβουλου NFT μέσω της OpenSea. Κοινοποιήσαμε αμέσως και υπεύθυνα τα ευρήματά μας στην OpenSea, η οποία συνεργάστηκε γρήγορα μαζί μας για την ανάπτυξη μιας διόρθωσης. Πιστεύω ότι τα ευρήματα της έρευνάς μας και η γρήγορη δράση της OpenSea θα αποτρέψουν τις κλοπές crypto wallets των χρηστών. Η καινοτομία blockchain βρίσκεται σε ταχεία εξέλιξη και τα NFTs ήρθαν για να μείνουν. Δεδομένου του σταθερού ρυθμού της καινοτομίας, υπάρχει μια εγγενής πρόκληση στην ασφαλή ενσωμάτωση εφαρμογών λογισμικού και crypto markets. Οι κακοποιοί γνωρίζουν ότι έχουν αυτή τη στιγμή ένα ανοιχτό παράθυρο προς εκμετάλλευση, λόγω της αυξανόμενης ζήτησης από τους καταναλωτές και της έλλειψης μέτρων ασφαλείας σε αυτόν τον χώρο, μέτρων που πρέπει να ληφθούν έγκαιρα. Η κοινότητα της ασφάλειας στον κυβερνοχώρο πρέπει να αναλάβει δράση για να βοηθήσει τις πρωτοπόρες τεχνολογίες blockchain να διασφαλίσουν τα κρυπτογραφικά περιουσιακά στοιχεία των καταναλωτών. Προειδοποιούμε αυστηρά την κοινότητα της OpenSea να προσέχει για ύποπτες δραστηριότητες που μπορεί να οδηγήσουν σε κλοπή, καθώς πιστεύουμε ότι οι κακοί παράγοντες θα συνεχίσουν να επεκτείνουν τις προσπάθειές τους, προκειμένου να καταλάβουν crypto wallets, εκμεταλλευόμενοι παράλληλα τα τρωτά σημεία του συστήματος

Δήλωση της OpenSea

Η ασφάλεια είναι θεμελιώδης για το OpenSea. Εκτιμούμε το ότι η ομάδα CPR έθεσε υπόψη μας αυτή την ευπάθεια και συνεργάστηκε μαζί μας καθώς ερευνήσαμε το θέμα και εφαρμόσαμε μια διόρθωση μέσα σε μια ώρα από την στιγμή που αυτό υπέπεσε στην αντίληψή μας. Αυτές οι επιθέσεις θα βασίζονταν στο ότι οι χρήστες ενέκριναν κακόβουλη δραστηριότητα μέσω ενός τρίτου παρόχου πορτοφολιού, συνδέοντας το πορτοφόλι τους και παρέχοντας μια υπογραφή για την κακόβουλη συναλλαγή. Δεν μπορέσαμε να εντοπίσουμε καμία περίπτωση όπου έγινε εκμετάλλευση αυτής της ευπάθειας, αλλά συντονιζόμαστε άμεσα με τα πορτοφόλια τρίτων που ενσωματώνονται στην πλατφόρμα μας σχετικά με το πώς θα βοηθήσουν τους χρήστες να εντοπίζουν καλύτερα τα κακόβουλα αιτήματα υπογραφής, καθώς και άλλες πρωτοβουλίες για να βοηθήσουμε τους χρήστες να αποτρέψουν τις απάτες και τις επιθέσεις phishing με μεγαλύτερη αποτελεσματικότητα. Επίσης, διπλασιάζουμε την εκπαίδευση της κοινότητας γύρω από τις βέλτιστες πρακτικές ασφαλείας και έχουμε ξεκινήσει μια σειρά ιστολογίων σχετικά με το πώς να παραμείνετε ασφαλείς στον αποκεντρωμένο ιστό. Ενθαρρύνουμε τόσο τους νέους χρήστες όσο και τους έμπειρους βετεράνους να τα διαβάσουν. Στόχος μας είναι να ενδυναμώσουμε την κοινότητα να εντοπίζει, να μετριάζει και να αναφέρει επιθέσεις στο οικοσύστημα blockchain, όπως αυτή που έδειξε η CPR

*Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το techgear.gr στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://www.techgear.gr/feed στο αντίστοιχο πεδίο της υπηρεσίας σας. Αν προτιμάτε το Twitter, θα μας βρείτε στο προφίλ @techgeargr.

Techgear Team

ΣΧΟΛΙΑ
read more

Πώς να «σερφάρετε» στο διαδίκτυο με ασφάλεια: 6 απειλές, 12 βήματα

05 Αυγούστου 2022 Techgear Team

Η πύλη μας στον ψηφιακό κόσμο είναι οι λεγόμενοι web browsers (προγράμματα περιήγησης ιστού). Κάθε μέρα, περνάμε ατελείωτες ώρες σε αυτούς και ακριβώς για αυτό θεωρούνται πολύτιμος στόχος για τους ...

Νέο ransomware γραμμένο σε γλώσσα Rust προκαλεί ακόμα μεγαλύτερες ανησυχίες

03 Αυγούστου 2022 Techgear Team

Σύμφωνα με τα ευρήματα των ερευνητών της Kaspersky, οι φορείς ransomware στρέφονται ολοένα και περισσότερο στη διαπλατφορμική λειτουργικότητα. Η ομάδα με το όνομα Luna αξιοποιεί τη χρήση ransomware που είναι ...

No More Ransom: Βοήθησε 1,5+ εκατομμύριο ανθρώπους να αποκρυπτογραφήσουν τις συσκευές τους

28 Ιουλίου 2022 Techgear Team

Το No More Ransom, η πρωτοβουλία που ξεκίνησε για να βοηθήσει τα θύματα ransomware να αποκρυπτογραφήσουν τα αρχεία τους, συμπληρώνει έξι χρόνια παρουσίας. Από τους τέσσερις συνεργάτες που μετρούσε κατά την ...

Υπηρεσίες αεροπορικών και τουριστικών κρατήσεων: Οι ψηφιακές απάτες αυξάνονται λόγω θέρους

27 Ιουλίου 2022 Techgear Team

Καθώς βρισκόμαστε εν μέσω περιόδου διακοπών, οι ταξιδιώτες σε όλον τον κόσμο αναζητούν όμορφους προορισμούς, φθηνή διαμονή και πτήσεις σε λογικές τιμές. Και οι απατεώνες του κυβερνοχώρου είναι εδώ για να τους ...

Stranger Scams: Οι hackers αδειάζουν τα πορτοφόλια των θαυμαστών της δημοφιλούς σειράς

22 Ιουλίου 2022 Techgear Team

Στις αρχές Ιουλίου κυκλοφόρησε η τέταρτη σεζόν μιας από τις πιο πολυαναμενόμενες σειρές, του Stranger Things. Παρά το διάλειμμα τριών ετών λόγω καθυστερήσεων που σχετίζονται με την πανδημία, oι fans περίμεναν ...

VPN: Το χρειάζεσαι; Απαντήσεις σε 5 συχνές ερωτήσεις

21 Ιουλίου 2022 Techgear Team

Η απόλαυση της ζωής στον ψηφιακό κόσμο έχει και το τίμημά της: την ιδιωτικότητά μας. Κάθε ιστοσελίδα που επισκεπτόμαστε, το πού βρισκόμαστε, το πόσα ξοδεύουμε και με ποιες κάρτες πληρώνουμε - αυτές είναι μόνο ...

Bitcoin για όλους: Η Nvidia στη λίστα με τα εμπορικά σήματα που προτιμούν οι απατεώνες

14 Ιουλίου 2022 Techgear Team

Για να προσεγγίσουν μια συγκεκριμένη κοινότητα, οι απατεώνες ενεργούν συχνά με το πρόσχημα γνωστών εταιρειών. Σε νέα κακόβουλη δραστηριότητα που ανακαλύφθηκε από ειδικούς της Kaspersky, οι επιτιθέμενοι ...

5 τρόποι με τους οποίους οι κυβερνοεγκληματίες κλέβουν στοιχεία πιστωτικών καρτών

13 Ιουλίου 2022 Techgear Team

Το κυβερνοέγκλημα είναι μια καλοκουρδισμένη μηχανή που κοστίζει τρισεκατομμύρια δολάρια ετησίως. Σε ιστοσελίδες στο σκοτεινό διαδίκτυο (dark web), κρυμμένοι από τις αρχές επιβολής του νόμου αλλά και από την ...

Απάτες στο TikTok: Πώς οι εγκληματίες του κυβερνοχώρου πείθουν τα θύματα να τους καλέσουν

12 Ιουλίου 2022 Techgear Team

Στο TikTok, κερδίζει δημοτικότητα μια φάρσα όπου άνθρωποι καλούν τους φίλους τους χρησιμοποιώντας μια αυτοματοποιημένη φωνή τηλεφωνητή για να τους πουν ότι ένα μεγάλο χρηματικό ποσό πρόκειται να χρεωθεί στον ...

Προσοχή: Hackers αποσπούν στοιχεία τραπεζικών καρτών προσποιούμενοι την DHL

07 Ιουλίου 2022 Techgear Team

Οι διαδικτυακές αγορές αποτελούν πλέον αναπόσπαστο κομμάτι της καθημερινότητάς μας: παραλαμβάνουμε τρόφιμα, ρούχα και άλλα αγαθά στην πόρτα μας με μερικά κλικ. Οι online shopaholics, οι οποία είναι πολλοί τώρα ...

Loader
techgear_icon