Teknoloji
Giriş Tarihi : 14-10-2021 09:11   Güncelleme : 14-10-2021 09:11
Abone ol

OpenSea, bilgisayar korsanlarının kötü amaçlı NFT'lerle kripto çalmasına izin verebilecek güvenlik açıklarını düzeltir

OpenSea ve güvenlik araştırmacıları, kötü niyetli bir NFT alıp etkileşim kurduktan sonra kullanıcıların kripto cüzdanlarının boşalmasına yol açabilecek bir istismar tespit etti ve kapattı.

OpenSea, bilgisayar korsanlarının kötü amaçlı NFT'lerle kripto çalmasına izin verebilecek güvenlik açıklarını düzeltir

OpenSea, platformunda, bilgisayar korsanlarının kötü amaçlarla oluşturulmuş bir NFT gönderdikten sonra birinin kriptosunu çalmasına izin verebilecek güvenlik açıklarını düzeltti. Sorun, bir blog gönderisine göre, NFT hediye edildikten sonra saldırıya uğradıklarını iddia eden kişilerin tweetlerini fark eden güvenlik şirketi Check Point Research tarafından bulundu. Araştırmacılar, saldırıya uğradıklarını söyleyen kişilerden biriyle konuştular ve bir saldırının bu şekilde olabileceğini kanıtlayan güvenlik açıkları buldular ve sorunları OpenSea'ye bildirdiler. Güvenlik firması, NFT ticaret platformunun sorunu bir saat içinde çözdüğünü ve düzeltmenin çalıştığından emin olmak için araştırmacılarla birlikte çalıştığını söylüyor.

Saldırganların potansiyel olarak tüm cüzdanları boşaltabilmeleri OpenSea için kesinlikle iyi bir görünüm değil. , birisine bir NFT hediye etmek basit bir mesele değildi - istismarın hedefinin, işlem ayrıntılarını içerebilecek biri de dahil olmak üzere önce birkaç istemi tıklaması gerekiyordu. Bir NFT hediyesi gönderilmesi sizin tarafınızdan herhangi bir etkileşim gerektirmese de, kötü niyetli NFT'ler bir OpenSea hesabında görüntülenmeden oturdularsa zararsızdı.

Kullanıcıların bir aktarım onay mesajını görüntülerken görebileceği aktarım onay mesajı enfekte NFT Görüntü: Kontrol Noktası Araştırması

Potansiyel olarak tehlikeli durum, görüntüyü tek başına görüntülerken ortaya çıkar (örneğin, üzerine sağ tıklayıp "yeni sekmede aç" düğmesine basarak). Yüklü MetaMask gibi bir kripto cüzdan tarayıcı uzantısına sahip kullanıcılar için, storage.opensea.io'yu cüzdanlarına bağlamak isteyen bir açılır pencere başlatır. Hedef evet'i tıklarsa, saldırganlar cüzdanın bilgilerini yakalayabilir ve kurbanın cüzdanından kendi cüzdanına bir aktarımı onaylamak isteyen başka bir açılır pencereyi tetikleyebilir. Dikkat etmiyorsanız veya neler olup bittiğini anlamadıysanız ve aktarımı onaylamadıysanız, cüzdanınızdaki her şeyi kaybedebilirsiniz.

OpenSea bir açıklamada herhangi bir şey bulamadığını söylüyor. Aslında bu tür bir saldırı gerçekleştiren birinin örnekleri - saldırıya uğradıklarını söyleyen insanlara ne olduğu hala belli değil. Bulabildiğim kadarıyla, bir hediye NFT aldıktan sonra saldırıya uğramaktan bahseden yalnızca birkaç kişi vardı.

Okumadığınız veya tanımadığınız şeyleri imzalamayın

OpenSea birlikte çalıştığını söylüyor insanların kötü niyetli imza isteklerini tanımasına yardımcı olmak için üçüncü taraf cüzdan sağlayıcıları. Yine de çoğunlukla standart internet güvenliği kuralları geçerlidir - olağan dışı görünen şeylere tıklamayın ve yapmak istediğiniz bir şey olduğundan tamamen emin olmadığınız sürece hiçbir işlem talebini kesinlikle onaylamayın.

Bu özel saldırı hedeften çok fazla etkileşim (ve en azından bir miktar dikkatsizlik) gerektirse de, Check Point'in OpenSea'nin bunu düzelttiğine dair onayını görmek güzel. NFT'lerde yeni olan kişilerin cüzdanlarının potansiyel olarak boşaltıldığını hayal etmek kolaydır ve kripto alanında kötü aktörler ve dolandırıcıların örneklerini gördük. İnsanların Ethereum'unu çalmaya, OpenSea destek çalışanları gibi davranmaya veya neredeyse kesinlikle sahte bir Banksy satmaya istekli olanlar var.

OpenSea Pazartesi günü ayrıca hediye edilmiş NFT'leri varsayılan olarak bir hesabın sayfasından gizleyeceğini duyurdu. doğrulanmamış koleksiyonlardan geliyorlarsa ve cüzdanınızın güvenliğinin ihlal edildiğini düşünüyorsanız hesabınızı NFT alıp satmasını askıya alma seçeneği ekleyin.