La cyber-sécurité les chercheurs ont aidé à corriger des failles de sécurité sur le Marché OpenSea NFT qui auraient pu être exploitées par des attaquants pour détourner des utilisateurs portefeuilles de crypto-monnaie.
Les chercheurs de Check Point (CP) ont découvert les problèmes de sécurité critiques sur l’un des plus grands marchés NFT au monde après avoir repéré des rapports de personnes affirmant avoir volé tous leurs cryptos après avoir reçu un cadeau gratuit sur la plate-forme.
« De tels exemples, ainsi que d’autres qui signalé différentes escroqueries au sein de ce marché ont motivé nos chercheurs à rechercher (et à trouver !) des vulnérabilités au sein de la plate-forme, ce qui aurait pu permettre aux escrocs et aux pirates de détourner des comptes et de voler le crypto-monnaies des portefeuilles numériques », partager Les chercheurs du CP Dikla Barda, Roman Zaikin et Oded Vanunu dans un article de blog commun.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Les chercheurs ajoutent qu’OpenSea a répondu à leurs requêtes et a collaboré avec les chercheurs pour aider à bloquer tous les vecteurs d’attaque.
Sommaire
L’impatience technique
OpenSea permet à quiconque de créer de l’art, dans l’un des nombreux formats multimédias populaires, et de les vendre sur son marché.
Les chercheurs l’ont utilisé pour créer un art au format SVG avec une charge utile malveillante qui leur a permis de communiquer avec le portefeuille de crypto-monnaie par défaut de la plate-forme, MetaMask.
Engagé rapporte que l’attaque reposait sur l’inattention de l’utilisateur et sur le fait qu’OpenSea génère déjà beaucoup de pop-ups. L’attaque a fonctionné en envoyant un NFT malveillant à la victime, qui, une fois ouvert, a déclenché plusieurs fenêtres contextuelles, dont une demandant l’accès au portefeuille de crypto-monnaie de la victime.
« Vous devez toujours être prudent lorsque vous recevez des demandes de signature de votre portefeuille en ligne. Avant d’approuver une demande ; vous devez examiner attentivement ce qui est demandé et déterminer si la demande est anormale ou suspecte », avertissent les utilisateurs, conseillant aux utilisateurs de rejeter toute demande qui semble même légèrement suspecte.
Passant par Engagé
