Nền tảng OpenSea NFT bị tin tặc tấn công đánh cắp ví tiền điện tử

Các nhà nghiên cứu bảo mật cho biết tin tặc có thể đánh cắp toàn bộ số tiền trong ví của bất kì tài khoản OpenSea bằng cách dụ họ nhấp vào NFT chứa mã độc.

Với khối lượng giao dịch khoảng 3,4 tỷ đô la, OpenSea là thị trường lớn nhất thế giới để mua, bán và đấu giá các NFT (non-fungible tokens) cũng như các tài sản kỹ thuật số khác.

Lỗ hổng trên nền tảng Opensea

Thông tin chi tiết về một vấn đề trên nền tảng OpenSea cho phép tin tặc chiếm đoạt tài khoản người dùng và đánh cắp ví tiền điện tử đã được tiết lộ ngày 13/10.

Kẻ tấn công chỉ cần tạo một NFT chứa payload độc hại rồi chờ nạn nhân bị lừa và xem nó.

Nhiều người dùng đã báo cáo rằng ví tiền điện tử của họ trống rỗng sau khi nhận được quà tặng trên thị trường OpenSea từ một chiến thuật tiếp thị được gọi là "airdrop" dùng để quảng cáo tài sản ảo mới.

Các nhà nghiên cứu của công ty an ninh mạng Check Point đã xem xét về cách thức hoạt động của nền tảng này để xác định các lỗ hổng.

Tài khoản OpenSea yêu cầu ví tiền điện tử của bên thứ ba từ danh sách mà nền tảng hỗ trợ. Phổ biến trong số đó là MetaMask, các nhà nghiên cứu cũng đang thử nghiệm điều tra trên ví này.

Giao tiếp với ví diễn ra khi thực hiện bất kỳ hành động nào trong tài khoản, bao gồm hành động thích một đối tượng nghệ thuật trong hệ thống, điều này sẽ kích hoạt yêu cầu đăng nhập ví.

Nền tảng OpenSea cho phép mọi người mua bán bán các “tác phẩm nghệ thuật số” là các tệp với dung lượng lên tới 40MB và có phần mở rộng bất kỳ như JPG, PNG, GIF, SVG, MP3,...

Check Point đã tải lên hệ thống OpenSea một ảnh SVG chứa mã JavaScript độc hại. Khi nhấp vào nó để mở trong tab mới, họ nhận thấy rằng tệp được thực thi trong miền ‘storage.opensea.io’.

Họ cũng thêm một iFrame vào tệp ảnh SVG để chèn mã HTML vào “window.ethereum”, cái được yêu cầu để mở một kết nối với ví Ethereum của nạn nhân.

Check Point cho biết: “Trong kịch bản tấn công này, người dùng được yêu cầu ký bằng ví của họ sau khi nhấp vào hình ảnh nhận được từ bên thứ ba, đây là hành vi không mong muốn trên OpenSea, vì nó không liên quan đến các dịch vụ được cung cấp bởi nền tảng OpenSea”

Việc lạm dụng chức năng của ví được thực hiện thông qua Ethereum RPC-API, cái dùng để bắt đầu giao tiếp với MetaMask và hiển thị một cửa sổ bật lên (pop-up) để kết nối với ví.

Một cửa sổ pop-up khác yêu cầu chữ ký được yêu cầu để tin tặc có thể lấy tiền trong ví nạn nhân.

Điều này thường không gây nghi ngờ gì vì những yêu cầu như vậy "thường xuất hiện dưới dạng thông báo hệ thống" và người dùng có khả năng chấp thuận giao dịch mà không cần đọc thông báo.

Diễn biến của cuộc tấn công

Các nhà nghiên cứu của Check Point đã tóm tắt diễn biến của cuộc tấn công như sau:

Tin tặc tạo và tặng một NFT độc hại cho mục tiêu

Nạn nhân mở NFT độc hại, kích hoạt cửa sổ pop-up từ OpenSea để yêu cầu kết nối với ví tiền điện tử của nạn nhân

Nạn nhân tương tác với pop-up để kết nối ví của họ và thực hiện hành động trên NFT, điều này cho phép tin tặc truy cập vào ví của nạn nhân

Tin tặc có thể lấy tiền trong ví bằng cách kích hoạt một cửa sổ pop-up bổ sung, cũng được gửi từ OpenSea.

Các nhà nghiên cứu của Check Point đã thông báo cho OpenSea về những phát hiện của họ vào ngày 26/9. OpenSea đã làm việc cùng Check Point để giải quyết vấn đề và đưa ra giải pháp trong vòng chưa đầy một giờ sau đó .

Nguồn: bleepingcomputer.com