Le bogue du marché OpenSea NFT permet aux pirates de voler des portefeuilles cryptographiques

Au cours des dernières semaines, plusieurs cas de portefeuilles cryptographiques perdus ont été signalés et tweetés sur les plateformes de médias sociaux. Les utilisateurs se sont plaints du solde nul dans leurs portefeuilles crypto; suite à l’acceptation d’un cadeau sur la place de marché OpenSea.

S’inspirant de ces tweets, les chercheurs de Check Point ont enquêté sur la plate-forme OpenSea pour découvrir la vulnérabilité. L’enquête a révélé une vulnérabilité de sécurité critique qui, si elle est exploitée, permet aux pirates de détourner des comptes d’utilisateurs et de voler des portefeuilles cryptographiques en les attirant via des jetons non fongibles (NFT) gratuits et malveillants.

OpenSea est un marché numérique peer-to-peer pour les objets de collection cryptographiques et les NFT. C’est une plate-forme pour acheter et vendre des actifs numériques exclusifs. OpenSea a enregistré un volume de transactions de 3,4 milliards de dollars en août 2021 et est devenu l’un des plus grands marchés pour NFT du monde de la cryptographie.

Restez vigilant

J’ai eu 90 000 $ de jetons volés à mon @MetaMask @BinanceChain portefeuille

Je ne sais pas comment cela s’est passé, mais c’est incroyablement décevant

Une chose que je déteste, ce sont les voleurs

Ce sont des racailles 😡

J’espère que tu mourras d’une mort lente et douloureuse quand ton heure viendra 💯

DÉCHIRURE

– Le roi de la crypto (@microman2020) 5 octobre 2021

Ils n’ont toujours pas répondu à plusieurs e-mails d’abus de phishing envoyés il y a 4 jours @GoDaddyHelp . Peu leur importe que des dizaines de portefeuilles cryptographiques de personnes soient volés. @Allez papa @beefyfinance

– Peut (@resmihesabi) 7 octobre 2021

Sommes-nous sûrs que c’est corrigé ? Je regarde toujours des comptes qui ont volé des NFT transférés et vendus. La plupart des adresses d’utilisateurs piratées sont signalées et gelées, mais la même réception/vente de portefeuille est-elle toujours en cours ?

Soyez prudent là-bas.@opensea #NFT #NFT #opensea
https://t.co/oAQkZ91IyT

– MoonBaboon (@M00nbab00n) 14 octobre 2021

L’exploitation expliquée

La vulnérabilité de sécurité sur la plate-forme OpenSea permet au pirate de créer un NFT malveillant et de l’envoyer en cadeau à la victime cible.

Lors de la visualisation du NFT malveillant, une fenêtre contextuelle est activée à partir du domaine de stockage, demandant une connexion au portefeuille de crypto-monnaie de la cible. Ne soupçonnant pas la fenêtre contextuelle, la victime clique pour connecter son portefeuille afin de réclamer le cadeau (NFT), permettant au pirate d’accéder au portefeuille de l’utilisateur.

Une fenêtre contextuelle supplémentaire décrivant la transaction est déclenchée, qui est également envoyée depuis le domaine de stockage d’OpenSea. Une fois que l’utilisateur a cliqué dessus sans remarquer le message, le pirate peut voler l’intégralité du portefeuille de crypto-monnaie. Les victimes deviennent facilement des proies car toute action – même aimer un art dans le système – sur la plate-forme nécessite une connexion au portefeuille. Ces messages échappent aux soupçons car il s’agit de notifications système fréquentes, auxquelles les utilisateurs sont habitués lorsqu’ils opèrent sur ces plates-formes.

Les chercheurs de Check Point ont informé OpenSea de leurs découvertes, et les deux groupes ont collaboré pour résoudre le problème. OpenSea a proposé une solution, bien qu’il prétend n’avoir identifié aucun cas où les attaquants ont trompé leurs clients.

Consultatif

OpenSea a publié un avis pour protéger ses utilisateurs contre la menace, indiquant ce qui suit :

• Bien que la signature d’actions de portefeuille soit requise pour effectuer certaines actions sur OpenSea, vous devez toujours être prudent lorsque vous recevez des demandes de signature de transaction avec votre portefeuille en ligne. Avant d’approuver une demande de signature, vous devez examiner attentivement ce qui est demandé et déterminer si la demande est anormale ou suspecte. Si vous avez des doutes, vous devez rejeter la demande.
• Vérifiez si la demande de signature est en corrélation avec une action attendue.
• Les utilisateurs doivent noter qu’OpenSea ne demande pas de signatures de portefeuille pour afficher ou cliquer sur des photos ou des liens tiers. Une telle activité est hautement suspecte et les utilisateurs ne doivent pas signer de transactions sans rapport avec les actions spécifiques sur OpenSea.

Le marché de la cryptographie est en grande partie un secteur non organisé sans politiques et réglementations strictes en place. Cela en fait une cible attrayante pour les cyberattaques. Comme ces marchés ont été créés pour améliorer le secteur financier, les pays les considèrent plus comme un fléau qu’une aubaine.

La Chine avait émis une interdiction générale de toutes les transactions cryptographiques et de l’exploitation minière afin de poursuivre sa répression et d’éradiquer toutes les activités illégales de crypto-monnaie de son pays. De nombreux pays prennent des mesures préventives pour réduire les problèmes de sécurité liés aux marchés DeFi.

Lire aussi :

Le DoJ américain lance des initiatives civiles de cyber-fraude et de crypto-monnaie