Onderzoek Check Point voorkomt diefstal van crypto wallets op OpenSea, 's werelds grootste NFT marktplaats

Het onderzoek leidde tot de ontdekking van kritieke beveiligingskwetsbaarheden op het platform van OpenSea

| Check Point | 4 min | 22 oktober 2021 9:43
Copyright: DrawKit Illustrations on Unsplash
Check Point Research (CPR) onderzocht onlangs OpenSea, 's werelds grootste NFT (Non-Fungible Tokens) marktplaats. Dat gebeurde naar aanleiding van meldingen over gestolen crypto wallets die werden geactiveerd nadat NFT's via airdrop waren overgezet. Het onderzoek leidde tot de ontdekking van kritieke beveiligingskwetsbaarheden op het platform van OpenSea die, indien misbruikt, hackers ertoe hadden kunnen brengen gebruikersaccounts te kapen en volledige crypto wallets van gebruikers te stelen door kwaadaardige NFT's te verzenden.

OpenSea staat bekend als 's werelds grootste NFT marktplaats, met alleen al in augustus 2020 een transactievolume van 3,4 miljard dollar. CPR begon het onderzoek naar de marktplaats door berichten over gratis airdropped NFT's die aan gebruikers zouden zijn geschonken. CPR nam contact op met een slachtoffer van een gestolen crypto wallet, die bevestigde dat hij interactie had gehad met een airdropped object voorafgaand aan accountdiefstal. Dit zette het team ertoe aan om de marktplaats verder te onderzoeken.

CPR was in staat om kritieke beveiligingsfouten in OpenSea te identificeren en te bewijzen dat een kwaadaardige NFT kan worden gebruikt om accounts te kapen en crypto wallets te stelen.

De kwetsbaarheden hadden op de volgende manier misbruikt kunnen worden:
  • De hacker maakt en schenkt een kwaadwillende NFT aan een doelwit.
  • Het slachtoffer bekijkt de kwaadaardige NFT, activeert een pop-up uit het domein van OpenSea en vraagt ​​om verbinding met de eigen cryptocurrency-portemonnee. Dergelijke pop-ups komen vaak voor op het platform bij verschillende andere activiteiten.
  • Het slachtoffer klikt om de portemonnee te koppelen voor de verkregen NFT, waardoor toegang wordt verkregen tot de portemonnee.
  • De hacker kan het geld in de portemonnee verkrijgen door een extra pop-up te activeren, die ook wordt verzonden vanuit het domein van OpenSea. Als de gebruiker de transactie-omschrijving in de pop-up niet opmerkt en klikt, kan dit resulteren in diefstal van de gehele cryptocurrency-portemonnee.

Verantwoordelijke openbaarmaking

CPR heeft zijn bevindingen op zondag 26 september 2021 onmiddellijk aan OpenSea bekendgemaakt. In minder dan een uur na bekendmaking heeft OpenSea het probleem opgelost en de oplossing geverifieerd. CPR werkte nauw samen met het OpenSea-team om ervoor te zorgen dat de reparatie correct werkte. OpenSea reageerde erg snel en deelde svg-bestanden met iframe-objecten uit hun domein, zodat CPR samen kon beoordelen en ervoor kon zorgen dat alle aanvalsvectoren werden gesloten.

CPR raadt aan voorzichtig te zijn bij het ontvangen van verzoeken om een crypto wallet online te ondertekenen. Voordat een gebruiker een verzoek goedkeurt, moet deze zorgvuldig bekijken wat er wordt gevraagd en overwegen of het verzoek abnormaal of verdacht is. Bij twijfels moet de gebruiker het verzoek afwijzen en verder onderzoeken voordat een dergelijke toestemming wordt gegeven.

“Ik geloof dat onze onderzoeksresultaten, en de snelle actie van OpenSea, diefstal van cryptowallets van gebruikers kan voorkomen. Maar de ontdekking van deze kwetsbaarheid legt wel een probleem bloot. Blockchain-innovatie gaat razendsnel en NFT's zijn blijvend, en de adoptie onder consumenten neemt toe. Ondertussen loopt de veilige integratie van softwaretoepassingen en cryptomarkten nog achter. De cyberbeveiligingsgemeenschap moet opkomen om baanbrekende blockchain-technologieën te helpen bij het beveiligen van crypto-activa van consumenten”, zegt Oded Vanunu, Head of Products Vulnerabilities Research bij Check Point Software. “We waarschuwen de OpenSea-gemeenschap met klem om uit te kijken voor verdachte activiteiten die tot diefstal kunnen leiden, omdat we denken dat kwaadwillenden hun inspanningen zullen blijven uitbreiden om crypto wallets te kapen door misbruik te maken van systeemkwetsbaarheden.”

Reactie van OpenSea

“Veiligheid is fundamenteel voor OpenSea. We stellen het op prijs dat het CPR-team deze kwetsbaarheid onder onze aandacht heeft gebracht, met ons heeft samengewerkt terwijl we de kwestie hebben onderzocht en een oplossing hebben geïmplementeerd. We hebben geen gevallen kunnen identificeren waarin dit beveiligingslek werd misbruikt. Verder stemmen we rechtstreeks af met derde partijen die wallets met ons platform integreren om gebruikers te helpen kwaadaardige handtekeningverzoeken beter te identificeren. Ook zijn er andere initiatieven om gebruikers te helpen oplichting en phishing-aanvallen effectiever te voorkomen. We steken ook meer energie in het informeren van de samenleving over security best practices en zijn begonnen met een blogserie over hoe je veilig kunt blijven op het gedecentraliseerde web. We moedigen zowel nieuwe als ervaren gebruikers aan om de serie te lezen. Ons doel is om de gemeenschap in staat te stellen aanvallen in het blockchain-ecosysteem te detecteren, te beperken en, net zoals CPR deed, te rapporteren.”

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Check Point
Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point
Disclaimer
Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.