Uma vulnerabilidade crítica agora corrigida na OpenSea pode ter permitido o roubo de milhares de dólares em criptomoedas. A plataforma é o maior mercado de NFTs do mundo com US$ 3,4 bilhões transacionados em agosto de 2021.
As descobertas são da empresa de segurança cibernética Check Point Research. A organização iniciou uma investigação sobre a plataforma devido a relatos de carteiras de criptomoedas roubadas após recebimento de “presente” no mercado OpenSea.
Airdrop malicioso de NFT
Nesta quarta-feira (13), a empresa divulgou um relatório detalhando a vulnerabilidade.
“Depois de ver relatos de carteiras cripto roubadas acionadas por airdrops gratuitos de NFTs, a Check Point Research (CPR) investigou o OpenSea, o maior mercado de NFT do mundo. A investigação levou à descoberta de vulnerabilidades críticas de segurança na plataforma da OpenSea que, se exploradas, poderiam ter levado hackers a sequestrar contas de usuários e roubar carteiras inteiras de usuários, enviando NFTs maliciosos.”
Conforme destacou a empresa, após diversos relatos, a CRP entrou em contato com uma das vítimas que teve suas criptomoedas roubadas após receber um NFT.
Então, a empresa descobriu que, ao visualizar o NFT malicioso, a vítima dispara um pop-up dentro do domínio do OpenSea. Em seguida, esse pop-up solicita conexão com a carteira de criptomoeda da vítima.
Assim, a vítima clica para conectar sua carteira e permite o acesso à carteira da vítima.
“O hacker pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O resultado final pode ser o roubo de toda a carteira de criptomoeda de um usuário”, disse a CRP.
A falha foi informada à OpenSea no dia 26 de setembro, que imediatamente corrigiu a vulnerabilidade.
De acordo com a empresa de segurança, o mercado de NFTs foi “muito responsivo”. Além disso, a OpenSea compartilhou arquivos contendo “objetos iframe” de seu domínio de armazenamento. Desse modo, a CPR pôde revisar junto e certificar-se de que todos os vetores de ataque estavam fechados.
Como se proteger
Para se proteger destas violações, a empresa aconselhou que os usuários estejam atentos à solicitações para acessar sua carteira online.
“Antes de aprovar uma solicitação, você deve revisar cuidadosamente o que está sendo solicitado e considerar se a solicitação é anormal ou suspeita. Se você tiver alguma dúvida, deve rejeitar a solicitação e examinar mais detalhadamente, antes de fornecer tal autorização.”
Nota da OpenSea
Após o caso, a OpenSea divulgou uma nota oficial:
“A segurança é fundamental para o OpenSea. Agradecemos a equipe de CPR trazendo esta vulnerabilidade à nossa atenção e colaborando conosco enquanto investigávamos o assunto e implementamos uma correção dentro de uma hora após ter sido trazido à nossa atenção. Esses ataques teriam se baseado na aprovação de atividades maliciosas por parte dos usuários por meio de um provedor de carteira terceirizado, conectando sua carteira e fornecendo uma assinatura para a transação maliciosa,” diz trecho da nota.