CriptoFácil
Publicado 13.10.2021 19:00
Atualizado 13.10.2021 19:10
Milhares de dólares em criptomoedas roubados da OpenSea: vulnerabilidade crítica e airdrop malicioso
Uma vulnerabilidade crítica agora corrigida na OpenSea pode ter permitido o roubo de milhares de dólares em criptomoedas . A plataforma é o maior mercado de NFTs do mundo com US$ 3,4 bilhões transacionados em agosto de 2021.
As descobertas são da empresa de segurança cibernética Check Point Research. A organização iniciou uma investigação sobre a plataforma devido a relatos de carteiras de criptomoedas roubadas após recebimento de “presente” no mercado OpenSea.
h2 Airdrop malicioso de NFT /h2Nesta quarta-feira (13), a empresa divulgou um relatório detalhando a vulnerabilidade.
“Depois de ver relatos de carteiras cripto roubadas acionadas por airdrops gratuitos de NFTs, a Check Point Research (CPR) investigou o OpenSea, o maior mercado de NFT do mundo. A investigação levou à descoberta de vulnerabilidades críticas de segurança na plataforma da OpenSea que, se exploradas, poderiam ter levado hackers a sequestrar contas de usuários e roubar carteiras inteiras de usuários, enviando NFTs maliciosos.”
Conforme destacou a empresa, após diversos relatos, a CRP entrou em contato com uma das vítimas que teve suas criptomoedas roubadas após receber um NFT.
Então, a empresa descobriu que, ao visualizar o NFT malicioso, a vítima dispara um pop-up dentro do domínio do OpenSea. Em seguida, esse pop-up solicita conexão com a carteira de criptomoeda da vítima.
Assim, a vítima clica para conectar sua carteira e permite o acesso à carteira da vítima.
“O hacker pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O resultado final pode ser o roubo de toda a carteira de criptomoeda de um usuário”, disse a CRP.
A falha foi informada à OpenSea no dia 26 de setembro, que imediatamente corrigiu a vulnerabilidade.
De acordo com a empresa de segurança, o mercado de NFTs foi “muito responsivo”. Além disso, a OpenSea compartilhou arquivos contendo “objetos iframe” de seu domínio de armazenamento. Desse modo, a CPR pôde revisar junto e certificar-se de que todos os vetores de ataque estavam fechados.
h2 Como se proteger/h2Para se proteger destas violações, a empresa aconselhou que os usuários estejam atentos à solicitações para acessar sua carteira online.
“Antes de aprovar uma solicitação, você deve revisar cuidadosamente o que está sendo solicitado e considerar se a solicitação é anormal ou suspeita. Se você tiver alguma dúvida, deve rejeitar a solicitação e examinar mais detalhadamente, antes de fornecer tal autorização.”
h2 Nota da OpenSea/h2Após o caso, a OpenSea divulgou uma nota oficial:
“A segurança é fundamental para o OpenSea. Agradecemos a equipe de CPR trazendo esta vulnerabilidade à nossa atenção e colaborando conosco enquanto investigávamos o assunto e implementamos uma correção dentro de uma hora após ter sido trazido à nossa atenção. Esses ataques teriam se baseado na aprovação de atividades maliciosas por parte dos usuários por meio de um provedor de carteira terceirizado, conectando sua carteira e fornecendo uma assinatura para a transação maliciosa,” diz trecho da nota.
Por CriptoFácil
Escrito por: CriptoFácil
Negociar instrumentos financeiros e/ou criptomoedas envolve riscos elevados, inclusive o risco de perder parte ou todo o valor do investimento, e pode não ser algo indicado e apropriado a todos os investidores. Os preços das criptomoedas são extremamente voláteis e podem ser afetados por fatores externos, como eventos financeiros, regulatórios ou políticos. Negociar com margem aumenta os riscos financeiros.
Antes de decidir operar e negociar instrumentos financeiros ou criptomoedas, você deve se informar completamente sobre os riscos e custos associados a operações e negociações nos mercados financeiros, considerar cuidadosamente seus objetivos de investimento, nível de experiência e apetite de risco; além disso, recomenda-se procurar orientação e conselhos profissionais quando necessário.
A Fusion Media gostaria de lembrar que os dados contidos nesse site não são necessariamente precisos ou atualizados em tempo real. Os dados e preços disponíveis no site não são necessariamente fornecidos por qualquer mercado ou bolsa de valores, mas sim por market makers e, por isso, os preços podem não ser exatos e podem diferir dos preços reais em qualquer mercado, o que significa que são inapropriados para fins de uso em negociações e operações financeiras. A Fusion Media e quaisquer outros colaboradores/partes fornecedoras de conteúdo não são responsáveis por quaisquer perdas e danos financeiros ou em negociações sofridas como resultado da utilização das informações contidas nesse site.
É proibido utilizar, armazenar, reproduzir, exibir, modificar, transmitir ou distribuir os dados contidos nesse site sem permissão explícita prévia por escrito da Fusion Media e/ou de colaboradores/partes fornecedoras de conteúdo. Todos os direitos de propriedade intelectual são reservados aos colaboradores/partes fornecedoras de conteúdo e/ou bolsas de valores que fornecem os dados contidos nesse site.
A Fusion Media pode ser compensada pelos anunciantes que aparecem no site com base na interação dos usuários do site com os anúncios publicitários ou entidades anunciantes.