Durante as últimas semanas, a Check Point Research (CPR) identificou vulnerabilidades críticas de segurança no OpenSea, o principal mercado de NFTs (Non-Fungible Token, em inglês, ou Tokens não-intercambiáveis, em português). Se não fossem corrigidas, as vulnerabilidades poderiam permitir que cibercriminosos sequestrassem contas de usuários e roubassem carteiras inteiras de criptomoedas criando NFTs maliciosos.
CONTEÚDO RELACIONADO – Ataques hackers movimentam venda de seguros contra risco cibernético
A pesquisa da CPR sobre o OpenSea foi motivada por relatos de distribuições gratuitas de NFTs (“airdrops”) supostamente oferecidos aos usuários. Isso chamou muito a atenção da CPR que se correspondeu com uma vítima de uma carteira criptográfica roubada que confirmou a interação com um objeto distribuído (airdropped object) antes do roubo da conta.
A equipe da CPR foi capaz de identificar falhas críticas de segurança no OpenSea, provando que um NFT malicioso poderia ser usado para sequestrar contas e roubar carteiras criptográficas. A exploração bem-sucedida das vulnerabilidades teria exigido as seguintes etapas:
- O atacante cria e oferece um NFT malicioso para uma vítima alvo.
- A vítima visualiza o NFT malicioso disparando um pop-up do domínio de armazenamento do OpenSea, o qual solicita conexão com a carteira de criptomoeda da vítima (tais pop-ups são comuns na plataforma em várias outras atividades).
- A vítima clica para conectar sua carteira, a fim de realizar uma ação no NFT recebido, permitindo assim o acesso à sua carteira.
- O atacante pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O usuário é obrigado a clicar na janela de pop-up, caso não perceba a nota nela que descreve a transação.
- O resultado final poderia ser o roubo de toda a carteira de criptomoedas de um usuário.
Correção e declaração do OpenSea
A equipe da CPR divulgou imediatamente as suas descobertas ao OpenSea no dia 26 de setembro de 2021. Em menos de uma hora após o contato recebido dos especialistas da Check Point, o OpenSea corrigiu o problema e lançou a correção. O OpenSea ainda compartilhou arquivos svg contendo objetos iframe de seu domínio de armazenamento, de modo que a CPR pôde revisar em conjunto e certificar-se de que todos os vetores de ataque fossem fechados.
O OpenSea, em declaração à Check Point Software, afirmou que a segurança é fundamental para sua plataforma e ressaltou o quão importante foi a equipe da CPR ter informado sobre a vulnerabilidade. Ainda segundo a empresa, não foi identificada nenhuma instância em que essa vulnerabilidade foi explorada. O OpenSea ainda diz que vai redobrar a educação da comunidade sobre as melhores práticas de segurança.
Como se proteger deste tipo de golpe
A CPR recomenda ter cuidado ao receber solicitações para assinar sua carteira online. Antes de aprovar uma solicitação, o usuário deve revisar cuidadosamente o que está sendo solicitado e considerar se o pedido é anormal ou se suspeita do mesmo. Se o usuário tiver alguma dúvida, deverá rejeitar a solicitação e examinar mais detalhadamente, antes de conceder qualquer autorização.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.