Segurança

Check Point impede o roubo de carteiras de criptomoedas no OpenSea, maior marketplace de NFT

Durante as últimas semanas, a Check Point Research (CPR) identificou vulnerabilidades críticas de segurança no OpenSea, o principal mercado de NFTs (Non-Fungible Token, em inglês, ou Tokens não-intercambiáveis, em português). Se não fossem corrigidas, as vulnerabilidades poderiam permitir que cibercriminosos sequestrassem contas de usuários e roubassem carteiras inteiras de criptomoedas criando NFTs maliciosos.

CONTEÚDO RELACIONADO – Ataques hackers movimentam venda de seguros contra risco cibernético

A pesquisa da CPR sobre o OpenSea foi motivada por relatos de distribuições gratuitas de NFTs (“airdrops”) supostamente oferecidos aos usuários. Isso chamou muito a atenção da CPR que se correspondeu com uma vítima de uma carteira criptográfica roubada que confirmou a interação com um objeto distribuído (airdropped object) antes do roubo da conta. 

A equipe da CPR foi capaz de identificar falhas críticas de segurança no OpenSea, provando que um NFT malicioso poderia ser usado para sequestrar contas e roubar carteiras criptográficas. A exploração bem-sucedida das vulnerabilidades teria exigido as seguintes etapas: 

  • O atacante cria e oferece um NFT malicioso para uma vítima alvo. 
  • A vítima visualiza o NFT malicioso disparando um pop-up do domínio de armazenamento do OpenSea, o qual solicita conexão com a carteira de criptomoeda da vítima (tais pop-ups são comuns na plataforma em várias outras atividades). 
  • A vítima clica para conectar sua carteira, a fim de realizar uma ação no NFT recebido, permitindo assim o acesso à sua carteira. 
  • O atacante pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O usuário é obrigado a clicar na janela de pop-up, caso não perceba a nota nela que descreve a transação. 
  • O resultado final poderia ser o roubo de toda a carteira de criptomoedas de um usuário. 

Correção e declaração do OpenSea

A equipe da CPR divulgou imediatamente as suas descobertas ao OpenSea no dia 26 de setembro de 2021. Em menos de uma hora após o contato recebido dos especialistas da Check Point, o OpenSea corrigiu o problema e lançou a correção. O OpenSea ainda compartilhou arquivos svg contendo objetos iframe de seu domínio de armazenamento, de modo que a CPR pôde revisar em conjunto e certificar-se de que todos os vetores de ataque fossem fechados. 

O OpenSea, em declaração à Check Point Software, afirmou que a segurança é fundamental para sua plataforma e ressaltou o quão importante foi a equipe da CPR ter informado sobre a vulnerabilidade. Ainda segundo a empresa, não foi identificada nenhuma instância em que essa vulnerabilidade foi explorada. O OpenSea ainda diz que vai redobrar a educação da comunidade sobre as melhores práticas de segurança. 

Como se proteger deste tipo de golpe

A CPR recomenda ter cuidado ao receber solicitações para assinar sua carteira online. Antes de aprovar uma solicitação, o usuário deve revisar cuidadosamente o que está sendo solicitado e considerar se o pedido é anormal ou se suspeita do mesmo. Se o usuário tiver alguma dúvida, deverá rejeitar a solicitação e examinar mais detalhadamente, antes de conceder qualquer autorização. 

 

Participe das comunidades IPNews no Facebook, LinkedIn e Twitter. 

Newsletter

Inscreva-se para receber nossa newsletter semanal
com as principais notícias em primeira mão.


    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *