OpenSea: bug consentiva il furto di criptovalute

OpenSea: bug consentiva il furto di criptovalute

OpenSea ha risolto una vulnerabilità che poteva essere sfruttata per rubare le criptovalute attraverso l'invio di un NFT con immagine SVG.
OpenSea: bug consentiva il furto di criptovalute
OpenSea ha risolto una vulnerabilità che poteva essere sfruttata per rubare le criptovalute attraverso l'invio di un NFT con immagine SVG.

OpenSea ha comunicato di aver risolto una vulnerabilità che consentiva il furto delle criptovalute attraverso l’invio di un NFT infetto. Il bug è stato scoperto e segnalato dagli esperti di Check Point Research. L’azienda di New York, che gestisce il più grande marketplace NFT del mondo, è stata coinvolta in un recente caso di insider trading.

Falsi NFT per rubare le criptovalute

Check Point Research ha avviato le indagini sul problema di sicurezza in seguito alle segnalazioni di alcuni utenti che hanno ricevuto “airdropped NFT” in regalo. Dopo aver scoperto l’esistenza della vulnerabilità nella piattaforma, i ricercatori hanno subito contattato OpenSea. L’azienda newyorchese ha corretto il bug in meno di un’ora. OpenSea ha spiegato come sarebbe avvenuto l’attacco che porta al furto delle monete digitali, sottolineando che richiede l’intervento dell’utente.

  • Il malintenzionato crea e invia alla vittima un NFT che include un file SVG.
  • La vittima apre l’immagine in una nuova scheda o finestra. Viene quindi mostrato un pop-up con la richiesta di connessione al portafoglio digitale.
  • Se l’utente accetta la richiesta viene mostrato un secondo pop-up con la richiesta di approvare la transazione.

OpenSea - transazione NFT

È chiaro che l’accesso al portafoglio digitale e il conseguente furto delle criptovalute avvengono solo se l’utente non riconosce il pericolo. Dal dettaglio della transazione dovrebbe essere chiaro che si tratta di un’operazione sospetta. Le immagini di terze parti su OpenSea non richiedono la connessione al wallet. Chech Point Research ha confermato che la vulnerabilità è stata risolta.

Fonte: OpenSea
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 15 ott 2021
Link copiato negli appunti