Хакеры теперь пытаются украсть криптовалюту через вредоносные NFT

Невзаимозаменяемые токены, NFT, представляют собой цифровые активы, которые связывают право собственности с реальными предметами или объектами, такими как искусство, музыка, видео и т. д.

Хотя они работают с той же технологией блокчейна, что и криптовалюты, они не являются валютами. NFT очень спекулятивны и обычно продаются за миллионы. Однако не каждый инвестор должен их желать.

Популярность незаменимых токенов, от популярных мемов до пиксельных мультфильмов, в последнее время стремительно растет. К сожалению, этот ход не обошелся без атак эксплуатации.

В отчете Check Point Research (CPR), опубликованном в среду, говорится о взломе учетных записей пользователей на торговой площадке OpenSea NFT. Некоторые ошибки в NFT протокола привели к краже всех криптокошельков пользователей и передаче вредоносных NFT.

Дополнительная литература | Как дело Apple против Epic Games может быть оптимистичным для биткойнов

По появлению отчетов планируется начать расследование. Он будет касаться бесплатного распространения вредоносных NFT, используемых для взлома учетных записей и кражи криптовалюты.

Хакеры, нацеленные на NFT для осуществления гнусных действий

Источником проблемы были не только NFT и раздача. Однако, выпустив NFT для жертвы, они ее увидят. Затем появляется дополнительное сообщение, в котором требуется подпись для подключения к кошельку.

Кроме того, появится запрос на вторичную подпись. Если пользователь примет его, хакеры получат доступ к кошельку и средствам ничего не подозревающего пользователя.

Что касается OpenSea, ошибка безопасности позволила команде протокола загрузить файл SVG, содержащий вредоносные данные. Эта загрузка будет выполняться из поддомена хранилища Opensea.

Комментируя ситуацию, CPR сообщил, что после нажатия на изображение, полученное от третьего лица, пользователей попросили подписать, используя свой кошелек. Он упомянул, что такой запрос далек от обычной рутины OpenSea. Это потому, что он сильно отличается от услуг, которые предлагает OpenSea, таких как покупка или добавление товара в избранное и отправка предложений.

Дополнительная литература | Латинская Америка, переломный момент: стипендии Axie Infinity + Венесуэльский Petro

Тем не менее, большинство пользователей может поддаться соблазну одобрить подключение. Причина в том, что домен операции транзакции исходит из OpenSea, и, возможно, это то, что можно получить в других операциях NFT.

26 сентября команда CPR раскрыла OpenSea все свои выводы. Это обеспечило быстрое продвижение рынка в течение часа, чтобы определить приоритеты и проверить недостатки безопасности и предложить решение.

В заключение OpenSea опубликовала публичное заявление, в котором выразила признательность команде CPR за то, что они обратили внимание на лазейку. Кроме того, он отмечает усилия команд, которые присоединились к ним во время исследования и реализации решения в течение часа.

OpenSea отметила, что атаки зависели от одобрения пользователями злонамеренных действий через сторонних поставщиков кошельков. Таким образом, пользователи могут связывать свои кошельки и авторизовать вредоносные транзакции.

 Изображение из менабайт 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *