Kategorien
News

Sicherheitslücken im NFT-Marktplatz OpenSea machen Wallets angreifbar

Die Hacker nutzten die Pop-up-Funktionen auf der OpenSea-Website aus, um direkt aus den Krypto-Geldbörsen der Kunden zu stehlen.
OpenSea hat in dieser Angelegenheit mit Check Point zusammengearbeitet und seine Bemühungen zur Aufklärung der Kunden über Sicherheitsfragen verdoppelt.

Weniger als einen Monat nach der Aufdeckung von Insiderhandel steht der NFT-Marktplatz OpenSea erneut unter Verdacht. Er weist laut Experten von Check Point Software eine große Sicherheitslücke auf.

Die Experten erklärten, dass die Schwachstelle es Hackern ermöglichte, die gesamten Krypto-Wallets der Kunden zu stehlen. OpenSea ist der weltweit größte Marktplatz für den Kauf und Verkauf von NFTs und anderen digitalen Sammlerstücken.

Check Point stieß erstmals auf die Sicherheitslücke, nachdem Berichte über gestohlene Krypto-Wallets aufgetaucht waren, die durch abgeworfene NFTs ausgelöst wurden. Später entdeckten die Check-Point-Experten kritische Sicherheitslücken, „die, wenn sie ausgenutzt werden, Hacker dazu verleiten können, Benutzerkonten zu kapern und ganze Krypto-Wallets von Benutzern zu stehlen, indem sie bösartige NFTs senden“.

Die OpenSea-Sicherheitslücke

Bei der Angriffsmethode auf OpenSea wurde auf sehr einfache Weise eine NFT mit einer bösartigen Nutzlast erstellt. Dann musste man nur noch darauf warten, dass das Opfer den Köder schluckt und sich die bösartige NFT anschaut.

Später berichteten mehrere Kunden, dass sie nach dem Erhalt von Geschenken auf dem OpenSea-Marktplatz leere Krypto-Wallets vorfanden. Es handelte sich also um eine Marketing-Taktik, die als „Airdropping“ bezeichnet wird, um neue virtuelle Vermögenswerte zu bewerben. Der Erfolg des Angriffs basierte im Wesentlichen auf der Unaufmerksamkeit der Kunden und der Tatsache, dass OpenSea viele Pop-ups erzeugt.

Immer wenn das Opfer eine vom Hacker gesendete bösartige NFT empfing und ansah, wurde ein Popup-Fenster von der Speicherdomäne von OpenSea ausgelöst. Später würde es eine Verbindung zum Krypto-Wallet des Opfers anfordern. Sobald das Opfer auf das Popup-Fenster klickt, erhält der Hacker Zugang zu der Krypto-Wallet und generiert ein weiteres Popup-Fenster. Wenn das Opfer trotz eines Transaktionshinweises auch darauf klickt, räumt der Hacker das Wallet leer.

Beobachtungen von Check-Point-Experten

Bei Check Point beschloss man, sich die Funktionsweise der Plattform genauer anzusehen, um die Schwachstellen aufzudecken. OpenSea unterstützt mehrere Krypto-Wallets von Drittanbietern, von denen MetaMask eine der beliebtesten ist.

Die Forscher fanden heraus, dass jede Aktion auf dem Konto eine Kommunikation mit der Wallet erfordert. Sogar die Aktion, Kunst im System zu mögen, erzeugt eine Anmeldeanfrage bei dem Wallet. In seinem offiziellen Blogbeitrag schreibt Check Point:

„In unserem Angriffsszenario wird der Kunde aufgefordert, mit seinem Walllet zu unterschreiben, nachdem er auf ein Bild geklickt hat, das er von einem Dritten erhalten hat. Dies ist ein ungewöhnliches Verhalten von OpenSea, da es nicht mit den von der OpenSea-Plattform bereitgestellten Diensten wie dem Kauf eines Artikels, der Abgabe eines Angebots oder der Bevorzugung eines Artikels zusammenhängt.“

Es scheint jedoch, dass eine Menge Dinge schief gehen müssen, damit der Angriff funktioniert. Check Point informierte OpenSea am 26. September über diese Erkenntnisse. Beide Unternehmen arbeiteten zusammen, um das Problem zu beheben. OpenSea teilte mit, dass es „innerhalb einer Stunde, nachdem wir darauf aufmerksam gemacht wurden“, einen Fix implementiert hatte. OpenSea sagte teilte weiter mit, dass man „die Anstrengungen zur Aufklärung der Community in Sachen Sicherheit verdoppeln werde“.

Der Beitrag Sicherheitslücken im NFT-Marktplatz OpenSea machen Wallets angreifbar erschien zuerst auf Crypto News Flash.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.