up_icon
Security

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

13 Οκτωβρίου 2021 Techgear Team

Check Point Research: Απέτρεψε την κλοπή Crypto Wallets στην OpenSea

Λόγω της παρατήρησης αναφορών για την κλοπή crypto wallets που ενεργοποιήθηκε από δωρεάν NFTs, η Check Point Research (CPR) διερεύνησε την OpenSea, το μεγαλύτερο στον κόσμο NFT marketplace. Η έρευνα οδήγησε στην ανακάλυψη κρίσιμων τρωτών σημείων στην ασφάλεια της πλατφόρμας της OpenSea, τα οποία - αν αξιοποιούνταν - θα επέτρεπαν στους χάκερς την κατάληψη λογαριασμών χρηστών και την κλοπή των crypto wallets τους, με την αποστολή κακόβουλων NFTs.

  • Τα ευρήματα της έρευνας της CPR απέτρεψαν τις κλοπές των crypto wallets χρηστών
  • Η CPR επέλεξε να ερευνήσει την OpenSea μετά την παρατήρηση αναφορών για κλεμμένα crypto wallets στο διαδίκτυο
  • Η CPR απέδειξε ότι η κλοπή crypto wallets χρηστών ήταν εφικτή, εφόσον αξιοποιούνταν κρίσιμα κενά ασφαλείας που εντοπίστηκαν στην πλατφόρμα της OpenSea
  • Η CPR επικοινώνησε άμεσα τα ευρήματα στην OpenSea, η οποία προχώρησε στην ανάπτυξη μιας διόρθωσης σε λιγότερο από μία ώρα από την αποκάλυψη

Η Check Point Research (CPR) εντόπισε κρίσιμα κενά ασφαλείας στην OpenSea. Αν αυτά δεν είχαν επιδιορθωθεί θα μπορούσαν, με τη δημιουργία κακόβουλων NFTs, να επιτρέψουν στους χάκερ να υποκλέψουν λογαριασμούς χρηστών και crypto wallets. Η OpenSea είναι γνωστή ως το μεγαλύτερη marketplace NFT στον κόσμο, καταγράφοντας όγκο συναλλαγών ύψους $3,4 δισεκατομμυρίων δολαρίων μόνο τον Αύγουστο του 2021.

Αναφορές για εξαπολυμένα Κακόβουλα NFTs

Η έρευνα της CPR για την OpenSea προκλήθηκε από αναφορές για δωρεάν NFTs που φέρεται να προσφέρθηκαν ως δώρο σε χρήστες. Η έρευνα οδήγησε σε επικοινωνία της CPR με ένα θύμα κλεμμένου πορτοφολιού κρυπτονομισμάτων, το οποίο επιβεβαίωσε την αλληλεπίδραση του με ένα αντικείμενο που στάλθηκε από το πουθενά - όπως δήλωσε - πριν την κλοπή.

Η Μεθοδολογία που Χρησιμοποίησαν

Η CPR μπόρεσε να εντοπίσει κρίσιμα κενά ασφαλείας στην OpenSea, αποδεικνύοντας ότι ένα κακόβουλο NFT θα μπορούσε να χρησιμοποιηθεί για να υποκλέψει λογαριασμούς και να κλέψει πορτοφόλια κρυπτογραφημάτων. Η επιτυχής εκμετάλλευση των ευπαθειών απαιτούσε τα ακόλουθα βήματα:

  • Ο χάκερ δημιουργεί και χαρίζει ένα κακόβουλο NFT σε ένα θύμα-στόχο.
  • Το θύμα βλέπει το κακόβουλο NFT με την ενεργοποίηση ενός αναδυόμενο παράθυρου από το storage domain της OpenSea, το οποίο ζητά να συνδεθεί με το πορτοφόλι κρυπτονομισμάτων του θύματος (τέτοια αναδυόμενα παράθυρα είναι συνηθισμένα στην πλατφόρμα σε διάφορες άλλες δραστηριότητες)
  • Το θύμα κάνει κλικ για να συνδέσει το πορτοφόλι του, προκειμένου να ενεργοποιήσει το NFT δώρο, επιτρέποντας έτσι την πρόσβαση στο πορτοφόλι του.
  • Ο χάκερ μπορεί να πάρει τα χρήματα στο πορτοφόλι ενεργοποιώντας ένα πρόσθετο αναδυόμενο παράθυρο, το οποίο αποστέλλεται επίσης από το storage domain της OpenSea, στο οποίο ο χρήστης, εάν δεν παρατηρήσει τη σημείωση που περιγράφει τη συναλλαγή σε αυτό, μπορεί εύκολα να κάνει κλικ.
  • Το τελικό αποτέλεσμα θα μπορούσε να είναι η εξ'ολοκλήρου κλοπή του πορτοφολιού κρυπτονομισμάτων ενός χρήστη

Responsible Disclosure

Η CPR αποκάλυψε αμέσως και υπεύθυνα τα ευρήματά της στην OpenSea, την Κυριακή 26 Σεπτεμβρίου 2021. Σε λιγότερο από μία ώρα από την αποκάλυψη, η OpenSea διόρθωσε το πρόβλημα και επαλήθευσε τη διόρθωση. Η CPR συνεργάστηκε στένα με την ομάδα της OpenSea για να διασφαλίσει ότι η διόρθωση λειτούργησε σωστά. Η OpenSea ανταποκρίθηκε πολύ καλά και μοιράστηκε αρχεία svg που περιείχαν iframe από το storage domain της, ώστε η CPR να μπορέσει να επανεξετάσει από κοινού και να βεβαιωθεί ότι έχουν κλείσει όλοι οι φορείς επίθεσης.

Πως να Προστατευθείτε

Η CPR συνιστά να είστε προσεκτικοί όταν λαμβάνετε αιτήματα για να δώσετε πρόσβαση στο online πορτοφόλι σας. Πριν εγκρίνετε ένα αίτημα, θα πρέπει να εξετάσετε προσεκτικά τι ζητείται και να εξετάσετε αν το αίτημα είναι περίεργο ή ύποπτο. Εάν έχετε αμφιβολίες, θα πρέπει να απορρίψετε το αίτημα και να το εξετάσετε περαιτέρω, προτού δώσετε την εν λόγω εξουσιοδότηση.

Όπως δήλωσε ο Oded Vanunu, Head of Products Vulnerabilities Research, Check Point Software,

Το ενδιαφέρον μας για την OpenSea προκλήθηκε όταν είδαμε στο διαδίκτυο συζητήσεις για κλεμμένα πορτοφόλια κρυπτονομισμάτων. Υποθέσαμε ότι υπήρχε μια μέθοδος επίθεσης γύρω από την OpenSea, οπότε ξεκινήσαμε μια ενδελεχή έρευνα της πλατφόρμας της. Το αποτέλεσμα ήταν η ανακάλυψη ενός τρόπου κλοπής πορτοφολιών κρυπτονομισμάτων των χρηστών, απλά με την αποστολή ενός κακόβουλου NFT μέσω της OpenSea. Κοινοποιήσαμε αμέσως και υπεύθυνα τα ευρήματά μας στην OpenSea, η οποία συνεργάστηκε γρήγορα μαζί μας για την ανάπτυξη μιας διόρθωσης. Πιστεύω ότι τα ευρήματα της έρευνάς μας και η γρήγορη δράση της OpenSea θα αποτρέψουν τις κλοπές crypto wallets των χρηστών. Η καινοτομία blockchain βρίσκεται σε ταχεία εξέλιξη και τα NFTs ήρθαν για να μείνουν. Δεδομένου του σταθερού ρυθμού της καινοτομίας, υπάρχει μια εγγενής πρόκληση στην ασφαλή ενσωμάτωση εφαρμογών λογισμικού και crypto markets. Οι κακοποιοί γνωρίζουν ότι έχουν αυτή τη στιγμή ένα ανοιχτό παράθυρο προς εκμετάλλευση, λόγω της αυξανόμενης ζήτησης από τους καταναλωτές και της έλλειψης μέτρων ασφαλείας σε αυτόν τον χώρο, μέτρων που πρέπει να ληφθούν έγκαιρα. Η κοινότητα της ασφάλειας στον κυβερνοχώρο πρέπει να αναλάβει δράση για να βοηθήσει τις πρωτοπόρες τεχνολογίες blockchain να διασφαλίσουν τα κρυπτογραφικά περιουσιακά στοιχεία των καταναλωτών. Προειδοποιούμε αυστηρά την κοινότητα της OpenSea να προσέχει για ύποπτες δραστηριότητες που μπορεί να οδηγήσουν σε κλοπή, καθώς πιστεύουμε ότι οι κακοί παράγοντες θα συνεχίσουν να επεκτείνουν τις προσπάθειές τους, προκειμένου να καταλάβουν crypto wallets, εκμεταλλευόμενοι παράλληλα τα τρωτά σημεία του συστήματος

Δήλωση της OpenSea

Η ασφάλεια είναι θεμελιώδης για το OpenSea. Εκτιμούμε το ότι η ομάδα CPR έθεσε υπόψη μας αυτή την ευπάθεια και συνεργάστηκε μαζί μας καθώς ερευνήσαμε το θέμα και εφαρμόσαμε μια διόρθωση μέσα σε μια ώρα από την στιγμή που αυτό υπέπεσε στην αντίληψή μας. Αυτές οι επιθέσεις θα βασίζονταν στο ότι οι χρήστες ενέκριναν κακόβουλη δραστηριότητα μέσω ενός τρίτου παρόχου πορτοφολιού, συνδέοντας το πορτοφόλι τους και παρέχοντας μια υπογραφή για την κακόβουλη συναλλαγή. Δεν μπορέσαμε να εντοπίσουμε καμία περίπτωση όπου έγινε εκμετάλλευση αυτής της ευπάθειας, αλλά συντονιζόμαστε άμεσα με τα πορτοφόλια τρίτων που ενσωματώνονται στην πλατφόρμα μας σχετικά με το πώς θα βοηθήσουν τους χρήστες να εντοπίζουν καλύτερα τα κακόβουλα αιτήματα υπογραφής, καθώς και άλλες πρωτοβουλίες για να βοηθήσουμε τους χρήστες να αποτρέψουν τις απάτες και τις επιθέσεις phishing με μεγαλύτερη αποτελεσματικότητα. Επίσης, διπλασιάζουμε την εκπαίδευση της κοινότητας γύρω από τις βέλτιστες πρακτικές ασφαλείας και έχουμε ξεκινήσει μια σειρά ιστολογίων σχετικά με το πώς να παραμείνετε ασφαλείς στον αποκεντρωμένο ιστό. Ενθαρρύνουμε τόσο τους νέους χρήστες όσο και τους έμπειρους βετεράνους να τα διαβάσουν. Στόχος μας είναι να ενδυναμώσουμε την κοινότητα να εντοπίζει, να μετριάζει και να αναφέρει επιθέσεις στο οικοσύστημα blockchain, όπως αυτή που έδειξε η CPR

*Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το techgear.gr στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://www.techgear.gr/feed στο αντίστοιχο πεδίο της υπηρεσίας σας. Αν προτιμάτε το Twitter, θα μας βρείτε στο προφίλ @techgeargr.

Techgear Team

ΣΧΟΛΙΑ
techgear_icon