Especialistas impedem roubo de carteiras de criptomoedas no OpenSea

Equipe provou que era possível roubar carteiras criptográficas de usuários aproveitando as vulnerabilidades de segurança críticas encontradas na plataforma OpenSea

Compartilhar:

Durante as últimas semanas, a equipe da Check Point identificou vulnerabilidades críticas de segurança no OpenSea. Se não fossem corrigidas, as vulnerabilidades poderiam permitir que cibercriminosos sequestrassem contas de usuários e roubassem carteiras inteiras de criptomoedas criando NFTs (Non-Fungible Token, em inglês, ou Tokens não-intercambiáveis, em português) maliciosos. O OpenSea é conhecido como o maior mercado de NFT do mundo.

 

A pesquisa da CPR sobre o OpenSea foi motivada por relatos de distribuições gratuitas de NFTs (“airdrops”) supostamente oferecidos aos usuários. Isso chamou muito a atenção da equipe da CPR que, inclusive, se correspondeu com uma vítima de uma carteira criptográfica roubada que confirmou a interação com um objeto distribuído (airdropped object) antes do roubo da conta.

 

Metodologia da exploração da vulnerabilidade

 

A equipe da CPR foi capaz de identificar falhas críticas de segurança no OpenSea, provando que um NFT malicioso poderia ser usado para sequestrar contas e roubar carteiras criptográficas. A exploração bem-sucedida das vulnerabilidades teria exigido as seguintes etapas:

 

• O atacante cria e oferece um NFT malicioso para uma vítima alvo;

 

• A vítima visualiza o NFT malicioso disparando um pop-up do domínio de armazenamento do OpenSea, o qual solicita conexão com a carteira de criptomoeda da vítima (tais pop-ups são comuns na plataforma em várias outras atividades);

 

• A vítima clica para conectar sua carteira, a fim de realizar uma ação no NFT recebido, permitindo assim o acesso à sua carteira;

 

• O atacante pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O usuário é obrigado a clicar na janela de pop-up, caso não perceba a nota nela que descreve a transação;

 

• O resultado final poderia ser o roubo de toda a carteira de criptomoedas de um usuário.

 

Correção e declaração do OpenSea

 

A equipe da CPR divulgou imediatamente e com responsabilidade as suas descobertas ao OpenSea no dia 26 de setembro de 2021 (domingo). Em menos de uma hora após o contato recebido dos especialistas da Check Point Software, o OpenSea corrigiu o problema e lançou a correção. O trabalho próximo e em colaboração entre ambas as equipes CPR e OpenSea garantiu que a correção funcionasse acertadamente.

 

O OpenSea respondeu rápida e adequadamente, além de ter compartilhado arquivos svg contendo objetos iframe de seu domínio de armazenamento, de modo que a CPR pôde revisar em conjunto e certificar-se de que todos os vetores de ataque fossem fechados. Em declaração à Check Point Software, afirmou que a segurança é fundamental para sua plataforma, ressaltando o quão importante foi a equipe da CPR ter informado sobre esta vulnerabilidade e colaborado com sua equipe, enquanto investigavam a respeito e implementavam uma correção num período de tempo de uma hora após o conhecimento do problema.

 

“Esses ataques teriam se baseado na aprovação de atividades maliciosas por parte dos usuários por meio de um provedor de carteira terceirizado, conectando sua carteira e fornecendo uma assinatura para a transação maliciosa. Não conseguimos identificar nenhuma instância em que essa vulnerabilidade foi explorada, mas estamos coordenando diretamente com carteiras de terceiros que se integram à nossa plataforma sobre como ajudar os usuários a identificar as solicitações de assinaturas maliciosas, bem como outras iniciativas para ajudá-los a impedir com maior eficácia os golpes e ataques de phishing”, informa o OpenSea em comunicado à Check Point Software.

 

E conclui que “também estamos redobrando a educação da comunidade sobre as melhores práticas de segurança e lançamos uma série de blogs sobre como permanecer seguro na web. Incentivamos tanto aos novos como aos experientes usuários a acompanharem essa série de conteúdo. Nosso objetivo é capacitar a comunidade para detectar, mitigar e relatar ataques no ecossistema de blockchain”.

 

Como se proteger deste tipo de golpe

 

A CPR recomenda ter cuidado ao receber solicitações para assinar sua carteira online. Antes de aprovar uma solicitação, o usuário deve revisar cuidadosamente o que está sendo solicitado e considerar se o pedido é anormal ou se suspeita do mesmo. Se o usuário tiver alguma dúvida, deverá rejeitar a solicitação e examinar mais detalhadamente, antes de conceder qualquer autorização.

 

“O nosso interesse em pesquisar a plataforma OpenSea deu-se a partir de conversas online que vimos sobre carteiras criptográficas roubadas. Especulamos que existia um método de ataque à solta em torno do OpenSea e, então, iniciamos uma investigação completa da sua plataforma. O resultado foi a descoberta de uma maneira de roubar carteiras criptográficas de usuários, simplesmente enviando um NFT malicioso por meio do OpenSea”, explica Oded Vanunu, head de pesquisa de vulnerabilidades de produtos da Check Point Software.

 

Vanunu informa que comunicaram imediatamente e com responsabilidade as descobertas sobre as vulnerabilidades críticas ao OpenSea, que rapidamente trabalhou em conjunto para implementar uma correção. “Acredito que os resultados de nossas pesquisas e a ação rápida do OpenSea evitarão roubos de carteiras criptográficas de usuários. A inovação do blockchain está em andamento e os NFTs estão aqui para ficar. Dado o grande ritmo de inovação, existe um desafio inerente à integração segura de aplicativos de software e mercados de criptografia”, avalia Oded Vanunu.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...