Une faille Opensea a permis de voler des utilisateurs avec NFT gratuit comme leurre

0 0
Temps de lecture :3 Minutes, 42 Secondes
Faits marquants:
  • Dans leur tentative de recevoir l’art numérique gratuit, la victime peut perdre tout son équilibre.

  • Le marché NFT aurait corrigé la vulnérabilité qui permettait le vol d’actifs cryptographiques.

Un jeton non fongible (NFT) offert gratuitement à un utilisateur d’Opensea peut être le leurre avec lequel un acteur malveillant vole tous les avoirs déposés dans le portefeuille de sa victime.

Une enquête menée par la société de sécurité israélienne Check Point Research a révélé un vulnérabilité à Opensea, l’une des plus grandes plateformes qui existe pour échanger des jetons de collection.

Les chercheurs de Check Point ont simulé une attaque dans l’idée de découvrir pourquoi il y a tant d’utilisateurs d’Opensea qui signalent vol de vos biens après avoir reçu un cadeau NFT. Ils ont donc créé une situation qui leur a permis de voir si cela était possible.

Le scénario d’attaque a réussi en offrant un NFT à une victime spécifique dans le but de drainer les actifs déposés dans votre portefeuille. Au moment où la victime a réclamé son jeton de collection, elle ouvrait une série de fenêtres contextuelles malveillantes, conçues pour ressembler à Opensea, leur demandant de connecter le portefeuille de l’utilisateur à la plate-forme.

Une fois que la victime a suivi les indications indiquées dans la fenêtre pop-up, le transfert de fonds vers un portefeuille contrôlé par les attaquants a été activé. Si à ce moment-là, l’utilisateur ne fait pas attention ou ne s’est pas rendu compte de ce qui se passait, il aurait signé le transfert de fonds qui laisserait tous vos actifs entre les mains de pirates informatiques.

Les chercheurs de Check Point Research ont pu démontrer comment des acteurs malveillants ont pu voler des fonds aux utilisateurs d’Opensea. Source : Point de contrôle.

Dans notre scénario d’attaque, l’utilisateur est invité à signer un transfert depuis son portefeuille après avoir cliqué sur une image reçue d’un tiers, ce qui est un comportement inattendu dans OpenSea car il n’est pas en corrélation avec les services fournis par la plate-forme. Cependant, étant donné que le domaine de l’opération de transaction est OpenSea lui-même, et qu’il s’agit d’une action que la victime obtient généralement dans une autre opération, cela peut l’amener à approuver la connexion.

Équipe de chercheurs de Check Point Research.

La dernière étape de l’attaque, après avoir fait fonctionner toutes les pièces, consiste à transférer le NFT à la victime. Ensuite, ce transfert s’effectuera sans problème et l’utilisateur concerné ajoutera le token à sa collection, sans découvrir ce qui s’est passé.

L’entreprise de sécurité note dans son rapport qu’elle a mis en garde l’entreprise contre des vulnérabilités découvertes, qui ont été corrigées rapidement, travaillant même avec des chercheurs pour s’assurer que la solution fonctionne. Dans tous les cas, aucun détail n’est ajouté sur la manière dont Opensea a résolu ces échecs. On ne sait pas non plus ce qui est arrivé aux personnes qui disent avoir été attaquées.

« OpenSea a été réactif et a partagé les NFT contenant des objets intégrés de son domaine de stockage, afin que nous puissions l’examiner ensemble et nous assurer que tous les vecteurs d’attaque sont fermés », a noté la société de sécurité.

Opensea, un écosystème pour naviguer avec prudence

Ce n’est pas la première fois que des rapports de bogues ou d’arnaques ciblent le plus grand marché NFT de l’écosystème. Tel que rapporté par CriptoNoticias à la mi-septembre, le propre directeur de produit de l’entreprise a profité de ses connaissances sur le fonctionnement interne du marché pour en tirer un avantage personnel.

Nate Chastain, a effectué une série d’opérations pendant un temps considérable qui lui a permis de gagner 19 ether (ETH) frauduleusement. Il a acheté NFT à bas prix, sachant qu’il l’apprécierait plus tard en apparaissant sur la première page du site. À cette époque, il les vendait à une valeur plusieurs fois supérieure. La société a reconnu le fait et Chastain a ensuite été licencié.

Le mois dernier également, un bug d’Opensea a fait disparaître au moins 42 jetons à collectionner évalué à environ 28 éthers (ETH). La faille a transféré 42 NFT à la liste de gravure affectant plus de 21 comptes différents d’utilisateurs de la plate-forme.

Parmi ces jetons qui ont été détruits, il y en avait un qui était le plus ancien nom de domaine décentralisé de tout l’écosystème, rilxxlir.eth. L’un des premiers inscrits et disponible aux enchères en 2017.

Voir l’article original sur www.criptonoticias.com

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %