Check Point Technologies ontdekt kritieke lekken in NFT-marktplaats OpenSea

Kritieke beveiligingskwetsbaarheden zijn ontdekt op het platform van OpenSea, 's werelds grootste NFT (Non-Fungible Tokens) marktplaats. De kwetsbaarheden kunnen door aanvallers worden misbruikt voor het kapen van gebruikersaccounts en stelen van volledige crypto wallets van gebruikers door het verzenden van kwaadaardige NFT's (Non-Fungible Tokens).

Dit blijkt uit onderzoek van Check Point Research (CPR) naar OpenSea. Aanleiding voor het onderzoek waren meldingen over gestolen crypto wallets die werden geactiveerd nadat NFT's via airdrop waren overgezet. OpenSea staat bekend als 's werelds grootste NFT marktplaats, met alleen al in augustus 2020 een transactievolume van 3,4 miljard dollar.

'Gratis' airdropped NFT's

CPR begon het onderzoek naar de marktplaats door berichten over gratis airdropped NFT's die aan gebruikers zouden zijn geschonken. CPR nam contact op met een slachtoffer van een gestolen crypto wallet, die bevestigde dat hij interactie had gehad met een airdropped object voorafgaand aan accountdiefstal. Dit zette het team ertoe aan om de marktplaats verder te onderzoeken.

CPR was in staat om kritieke beveiligingsfouten in OpenSea te identificeren en te bewijzen dat een kwaadaardige NFT kan worden gebruikt om accounts te kapen en crypto wallets te stelen.

De kwetsbaarheden hadden op de volgende manier misbruikt kunnen worden:

• De hacker maakt en schenkt een kwaadwillende NFT aan een doelwit.
• Het slachtoffer bekijkt de kwaadaardige NFT, activeert een pop-up uit het domein van OpenSea en vraagt om verbinding met de eigen cryptocurrency-portemonnee. Dergelijke pop-ups komen vaak voor op het platform bij verschillende andere activiteiten.
• Het slachtoffer klikt om de portemonnee te koppelen voor de verkregen NFT, waardoor toegang wordt verkregen tot de portemonnee.
• De hacker kan het geld in de portemonnee verkrijgen door een extra pop-up te activeren, die ook wordt verzonden vanuit het domein van OpenSea. Als de gebruiker de transactie-omschrijving in de pop-up niet opmerkt en klikt, kan dit resulteren in diefstal van de gehele cryptocurrency-portemonnee.

Verantwoordelijke openbaarmaking

CPR heeft zijn bevindingen op zondag 26 september 2021 onmiddellijk aan OpenSea bekendgemaakt. In minder dan een uur na bekendmaking heeft OpenSea het probleem opgelost en de oplossing geverifieerd. CPR werkte nauw samen met het OpenSea-team om ervoor te zorgen dat de reparatie correct werkte. OpenSea reageerde erg snel en deelde svg-bestanden met iframe-objecten uit hun domein, zodat CPR samen kon beoordelen en ervoor kon zorgen dat alle aanvalsvectoren werden gesloten.

CPR raadt aan voorzichtig te zijn bij het ontvangen van verzoeken om een crypto wallet online te ondertekenen. Voordat een gebruiker een verzoek goedkeurt, moet deze zorgvuldig bekijken wat er wordt gevraagd en overwegen of het verzoek abnormaal of verdacht is. Bij twijfels moet de gebruiker het verzoek afwijzen en verder onderzoeken voordat een dergelijke toestemming wordt gegeven.

Crypto-activa beschermen

“Ik geloof dat onze onderzoeksresultaten, en de snelle actie van OpenSea, diefstal van cryptowallets van gebruikers kan voorkomen. Maar de ontdekking van deze kwetsbaarheid legt wel een probleem bloot. Blockchain-innovatie gaat razendsnel en NFT's zijn blijvend, en de adoptie onder consumenten neemt toe. Ondertussen loopt de veilige integratie van softwaretoepassingen en cryptomarkten nog achter. De cyberbeveiligingsgemeenschap moet opkomen om baanbrekende blockchain-technologieën te helpen bij het beveiligen van crypto-activa van consumenten”, zegt Oded Vanunu, Head of Products Vulnerabilities Research bij Check Point Software. “We waarschuwen de OpenSea-gemeenschap met klem om uit te kijken voor verdachte activiteiten die tot diefstal kunnen leiden, omdat we denken dat kwaadwillenden hun inspanningen zullen blijven uitbreiden om crypto wallets te kapen door misbruik te maken van systeemkwetsbaarheden.”

“Veiligheid is fundamenteel voor OpenSea. We stellen het op prijs dat het CPR-team deze kwetsbaarheid onder onze aandacht heeft gebracht, met ons heeft samengewerkt terwijl we de kwestie hebben onderzocht en een oplossing hebben geïmplementeerd. We hebben geen gevallen kunnen identificeren waarin dit beveiligingslek werd misbruikt. Verder stemmen we rechtstreeks af met derde partijen die wallets met ons platform integreren om gebruikers te helpen kwaadaardige handtekeningverzoeken beter te identificeren. Ook zijn er andere initiatieven om gebruikers te helpen oplichting en phishing-aanvallen effectiever te voorkomen. We steken ook meer energie in het informeren van de samenleving over security best practices en zijn begonnen met een blogserie over hoe je veilig kunt blijven op het gedecentraliseerde web. We moedigen zowel nieuwe als ervaren gebruikers aan om de serie te lezen. Ons doel is om de gemeenschap in staat te stellen aanvallen in het blockchain-ecosysteem te detecteren, te beperken en, net zoals CPR deed, te rapporteren.”