- Cripto wallets podiam ser totalmente saqueadas através de um simples envio malicioso de NFT
- No espaço de uma hora, a Check Point Research trabalhou em conjunto com o OpenSea para emitir a devida correção
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, identificou vulnerabilidades críticas no maior Marketplace de NFT do mundo, o OpenSea.
O surgimento de relatos de cripto wallets roubadas no seguimento da receção via airdrop de NFTs gratuitos instigou a Check Point Research a analisar a plataforma OpenSea. A investigação conduziu à descoberta de vulnerabilidades críticas que, se exploradas, permitiriam o roubo de contas dos utilizadores e respetivas cripto wallets, através do envio de NFTs maliciosos. O OpenSea é considerado o maior Marketplace de NFT do mundo, registando, apenas em agosto de 2020, um volume de transação de 3.4 mil milhões de dólares.
Relatos de NFTs maliciosos
A investigação da Check Point Research foi instigada por um número de relatos de NFTs maliciosos alegadamente enviados a utilizadores. A CPR contactou uma vítima deste tipo de ataque que confirmou ter interagido com um objeto recebido via airdrop antes de ter a sua conta roubada.
Fig. 1 Tweet a avisar sobre hacks relacionados com a receção ed NFTs aleatórios |
Metodologia de exploração
A Check Point Research conseguiu identificar um conjunto de vulnerabilidades críticas de segurança na plataforma OpenSea, comprovando que o envio de um NFT malicioso poderia ser utilizado para sequestrar contas de utilizadores e respetivas cripto wallets. A exploração bem-sucedida destas vulnerabilidades requeria o cumprimento dos seguintes passos:
Hacker cria e envia um NFT malicioso para uma vítima
Vítima vê o NFT malicioso, no seguimento de um pop-up do domínio de armazenamento do OpenSea que solicita o acesso à cripto wallet da vítima (estes pop-ups são comuns na plataforma em várias outras atividades)
A vítima clica para conectar a sua cripto wallet com o objetivo de realizar ações sobre o NFT recebido
O atacante pode obter o dinheiro da wallet desencadeando um pop-up adicional, também enviado a partir do domínio de armazenamento do OpenSea. O utilizador pode facilmente clicar no pop-up, se não reparar na nota que descreve a transação
O resultado final pode ser o roubo de toda a cripto wallet do utilizador
Pode dar-se o caso de a vítima ver o seguinte aviso a confirmar a transação de dinheiro. De notar que o OpenSea não requer aprovação de wallet para ver o clicar sobre links terceiros. Esta atividade é altamente suspeita e pode indicar um ataque.
Fig. 2 Exemplo de aviso que pode aparecer à vítima em caso de ataque |
A CPR fez chegar as suas conclusões à plataforma OpenSea de imediato, no dia 26 de setembro de 2021. Em apenas uma hora após a partilha, o OpenSea resolveu a questão e emitiu a correção. A CPR trabalhou de perto e em colaboração com a equipa do OpenSea para garantir que a correção estava operacional. O OpenSea foi muito responsivo e partilhou ficheiros svg contendo objetos iframe do seu domínio de armazenamento, para que a CPR pudesse rever e certificar-se de que todos os vetores de ataque estão fechados.
Como sempre, a CPR recomenda a máxima atenção aquando da receção de pedidos de acesso à wallet online. Antes de aprovar o pedido, é recomendável que os utilizadores revejam com atenção o que está a ser solicitado e considerem se é normal ou suspeito. Em caso de dúvida, deve rejeitá-lo e examinar a fundo, antes de autorizar.
"O nosso interesse no OpenSea despertou quando vimos o burburinho sobre o roubo de cripto wallets em série. A nossa consideração inicial foi que existia um método de ataque em torno do OpenSea, pelo que iniciámos uma investigação exaustiva sobre a plataforma. O resultado foi a descoberta de uma forma de roubar cripto wallets de utilizadores, simplesmente enviando uma NFT maliciosa através do OpenSea. Divulgámos imediatamente as nossas descobertas ao OpenSea, que rapidamente trabalhou connosco para implantar uma solução,” começa por dizer Oded Vanunu, Head of Products Vulnerabilities Research at Check Point Software. “Acredito que os nossos resultados de investigação, e a rápida ação do OpenSea, irão impedir futuros roubos deste tipo. A inovação da Blockchain está a evoluir rapidamente e as NFT estão aqui para ficar. Dado o ritmo absoluto da inovação, há um desafio inerente à integração segura de aplicações de software e mercados de criptomoeda. Os agentes sabem que têm agora uma janela aberta para tirar partido, já que o interesse dos utilizadores está a aumentar e as medidas de segurança neste campo têm ainda um longo caminho a percorrer. Advertimos firmemente a comunidade OpenSea a estar atenta a quaisquer atividades suspeitas, pois acreditamos que os atacantes continuarão a expandir os seus esforços, no sentido de encontrar vulnerabilidades e tirar proveito das mesmas."
Declaração oficial da plataforma OpenSea
"A segurança é fundamental para o OpenSea. Agradecemos à equipa da CPR por trazer esta vulnerabilidade à nossa atenção e por colaborar connosco enquanto investigávamos o assunto e implementávamos uma solução, tudo no espaço de uma hora após o alerta. Estes ataques teriam contado com a aprovação dos utilizadores através de um fornecedor terceiro de cripto wallet que conecta a wallet e fornece uma assinatura para a transacção maliciosa. Não conseguimos identificar quaisquer casos em que esta vulnerabilidade foi explorada, mas estamos a coordenar diretamente com wallets de terceiros que se integram na nossa plataforma para ajudar os utilizadores a identificar melhor os pedidos maliciosos, bem como outras iniciativas para ajudar os utilizadores a impedir fraudes e ataques de phishing com maior eficácia. Estamos também a duplicar a educação da comunidade em torno das melhores práticas de segurança e demos início a uma série de blogues sobre como permanecer seguro na web descentralizada. Encorajamos tanto os novos utilizadores como os veteranos experientes a darem uma leitura à série. O nosso objetivo é capacitar a comunidade para detetar, mitigar e reportar ataques no ecossistema Blockchain, tal como o que foi demonstrado pelo CPR".
Post A Comment:
0 comments: