Ícone do site IPNews – O Portal da Conectividade

Check Point impede o roubo de carteiras de criptomoedas no OpenSea, maior marketplace de NFT

Durante as últimas semanas, a Check Point Research (CPR) identificou vulnerabilidades críticas de segurança no OpenSea, o principal mercado de NFTs (Non-Fungible Token, em inglês, ou Tokens não-intercambiáveis, em português). Se não fossem corrigidas, as vulnerabilidades poderiam permitir que cibercriminosos sequestrassem contas de usuários e roubassem carteiras inteiras de criptomoedas criando NFTs maliciosos.

CONTEÚDO RELACIONADO – Ataques hackers movimentam venda de seguros contra risco cibernético

A pesquisa da CPR sobre o OpenSea foi motivada por relatos de distribuições gratuitas de NFTs (“airdrops”) supostamente oferecidos aos usuários. Isso chamou muito a atenção da CPR que se correspondeu com uma vítima de uma carteira criptográfica roubada que confirmou a interação com um objeto distribuído (airdropped object) antes do roubo da conta. 

A equipe da CPR foi capaz de identificar falhas críticas de segurança no OpenSea, provando que um NFT malicioso poderia ser usado para sequestrar contas e roubar carteiras criptográficas. A exploração bem-sucedida das vulnerabilidades teria exigido as seguintes etapas: 

Correção e declaração do OpenSea

A equipe da CPR divulgou imediatamente as suas descobertas ao OpenSea no dia 26 de setembro de 2021. Em menos de uma hora após o contato recebido dos especialistas da Check Point, o OpenSea corrigiu o problema e lançou a correção. O OpenSea ainda compartilhou arquivos svg contendo objetos iframe de seu domínio de armazenamento, de modo que a CPR pôde revisar em conjunto e certificar-se de que todos os vetores de ataque fossem fechados. 

O OpenSea, em declaração à Check Point Software, afirmou que a segurança é fundamental para sua plataforma e ressaltou o quão importante foi a equipe da CPR ter informado sobre a vulnerabilidade. Ainda segundo a empresa, não foi identificada nenhuma instância em que essa vulnerabilidade foi explorada. O OpenSea ainda diz que vai redobrar a educação da comunidade sobre as melhores práticas de segurança. 

Como se proteger deste tipo de golpe

A CPR recomenda ter cuidado ao receber solicitações para assinar sua carteira online. Antes de aprovar uma solicitação, o usuário deve revisar cuidadosamente o que está sendo solicitado e considerar se o pedido é anormal ou se suspeita do mesmo. Se o usuário tiver alguma dúvida, deverá rejeitar a solicitação e examinar mais detalhadamente, antes de conceder qualquer autorização. 

 

Participe das comunidades IPNews no Facebook, LinkedIn e Twitter. 

Sair da versão mobile