Los NFT de "regalo gratis" de OpenSea agotan los saldos de Cryptowallet - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los NFT de «regalo gratis» de OpenSea agotan los saldos de Cryptowallet

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y en esta ocasión te voy a hablar sobre Los NFT de «regalo gratis» de OpenSea agotan los saldos de Cryptowallet

Los NFT de «regalo gratis» de OpenSea agotan los saldos de Cryptowallet

Los ciberdelincuentes se han aprovechado de errores en el mercado de productos digitales más grande del mundo para crear obras de arte maliciosas que se ofrecen como un beneficio a los usuarios desprevenidos.

Los usuarios de OpenSea, el mercado de recolección digital más grande del mundo, descubrieron que sus billeteras de criptomonedas fueron robadas gracias a los ciberataques que armaron los errores de seguridad que les permitieron secuestrar las cuentas de los usuarios. Los ataques giraron en torno a archivos de arte explosivo, que circularon en forma de «obsequios».

Eso es según Check Point Research, cuyos investigadores analizaron una serie de afirmaciones de que los saldos de las criptomonedas se estaban desmoronando tanto para los compradores del mercado como para los comerciantes.

OpenSea es un mercado de igual a igual para bienes virtuales, un poco como el de Etsy para tokens no fungibles (NFT) y criptomonedas coleccionables. Los NFT son una forma de tomar objetos digitales reproducibles como fotos, videos, archivos de audio y arte y convertirlos en objetos únicos; Los mercados utilizan la tecnología blockchain para establecer una prueba pública y verificada de propiedad de dichos artículos. OpenSea se benefició de la auge NFT, acumulando $ 3.4 mil millones en volumen de transacciones solo en agosto.

Obviamente, los ciberdelincuentes se sienten atraídos por centros de dinero como polillas en llamas, y según Check Point se entrenaron con OpenSea.

Para averiguar cómo se llevaron a cabo los ataques que agotaron la billetera, los investigadores se centraron en los informes que comenzaron con un objetivo al que se le ofrecía un obsequio NFT gratuito o un enlace a OpenSea Art. Por ejemplo, una víctima confirmó que un CPR había interactuado con un objeto NFT. lanzado por aire antes del robo de la billetera.

“Entonces, decidimos verificar qué pasaría si creáramos arte malicioso que contenga código, como una imagen .SVG. Creamos un archivo .SVG simple y lo cargamos con una carga útil simple «, explicaron los investigadores en un Análisis de miércoles. “Al hacer clic en el arte y abrirlo en otra pestaña o hacer clic en los enlaces de la página, nuestro SVG se ejecutará bajo el subdominio https://storage.opensea.io; en este punto, tenemos un archivo SVG con funcionalidad JavaScript «.

Sin embargo, para que la «obra de arte» robara la criptomoneda, la prueba de concepto de Check Point necesitaba algunas llamadas de atención más.

Profundizando, los investigadores encontraron que se requiere que un usuario conecte una billetera criptográfica de terceros a una cuenta en OpenSea, para pagar los artículos de colección y recibir pagos por las ofertas enumeradas. La forma en que funciona la plataforma es comunicarse con la billetera para casi cualquier acción de la cuenta, como cargar ilustraciones. A su vez, la billetera se comunica con su red de criptomonedas back-end. En la investigación de Check Point, los analistas utilizaron la billetera MetaMask, que se comunica con la red Ethereum mediante la API JSON-RPC.

Para aprovechar esta configuración, los investigadores agregaron un iframe al archivo .SVG, que colocó un objeto Ethereum en la página donde se ofrecía el .SVG malicioso.

«De esta manera podemos inyectar window.ethereum, lo que nos permitirá comunicarnos con la API Ethereum JSON-RPC», según el análisis. «Para secuestrar las monedas, el atacante primero debe abrir una comunicación con la billetera a través de una acción rpc-api que iniciará la comunicación con MetaMask».

Cuando a un objetivo se le ofrece el «obsequio», que es el NFT malicioso, se le presenta una ventana emergente solicitando la confirmación de la transacción. Una vez que la víctima hace clic en la ventana emergente para firmar la transacción, puede interactuar con el archivo. En segundo plano, la carga útil se ejecuta y un atacante podría ver cualquier actividad de la billetera y realizar acciones en nombre de la víctima.

«La transferencia se realizará sin problemas y la víctima incorporará el arte a su colección sin ninguna acción de su parte», explicaron los investigadores de Check Point. «Entonces, si la víctima abre el nuevo arte y presiona la imagen o los enlaces, conecta su billetera y firma la transacción en la ventana emergente, perderá todo su saldo».

Los investigadores de Check Point han revelado las vulnerabilidades de OpenSea, que ha implementado correcciones, pero advirtió que es poco probable que ataques como este sean infrecuentes. Una clave principal para protegerse, dijeron, es prestar mucha atención a los mensajes y ventanas emergentes de la billetera.

«Cabe señalar que las ventanas emergentes de firma de billetera a menudo aparecen como una alerta del sistema y son un proceso de plataforma estándar para crear diferentes negocios», señalaron los investigadores: estas ventanas emergentes generalmente aparecen cuando los usuarios compran un artículo o hacen una oferta, por ejemplo. Sin embargo, señalaron que no es normal que se les pida firmar con la billetera luego de hacer clic en una imagen recibida de un tercero.

«Los usuarios deben tener en cuenta que OpenSea no requiere la aprobación de la billetera para ver o hacer clic en enlaces de terceros», según Check Point. «Dicha actividad es muy sospechosa y los usuarios no deben interactuar con las aprobaciones de la cartera que no estén relacionadas con acciones específicas de OpenSea, como comprar, ofertar, dar me gusta a una imagen».

Por lo tanto, antes de aprobar una solicitud, los usuarios deben revisar cuidadosamente lo que se solicita y considerar si la solicitud es anormal o sospechosa.

«En este caso, el usuario puede haber habilitado sin saberlo el acceso a su cuenta (y el dinero que contiene) bajo el mismo proceso conocido si no leyó la ventana emergente con atención», dijeron los investigadores. «Los usuarios deben ser muy conscientes de lo que firman en OpenSea, así como en otras plataformas NFT, y si está relacionado con las acciones previstas».

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte