Уязвимости в NFT-площадке OpenSea подвергли криптокошельки пользователей риску атак

Специалисты из Check Point Software обнаружили критические уязвимости на сайте торговой площадки OpenSea. Эксплуатация проблем позволяла хакерам перехватывать контроль над учетными записями и криптокошельками пользователей путем отправки вредоносных NFT-токенов.

Атака основывалась на невнимании пользователя и на том факте, что OpenSea генерирует множество всплывающих окон. Если жертва получала и просматривала вредоносный NFT-токен, он запускал всплывающее окно из домена хранилища OpenSea с запросом подключения к криптовалютному кошельку жертвы. Нажатие на всплывающее окно предоставляло хакеру доступ к кошельку и вызывало еще одно всплывающее окно. Если пользователь щелкал по нему, не заметив примечания с описанием транзакции, злоумышленник мог похитить все денежные средства.

ИБ-эксперты сообщили OpenSea о своих находках, и администрация торговой площадки выпустила исправление для проблем.