Os investigadores da Check Point Research identificaram vulnerabilidades críticas no OpenSea, visto como o maior marketplace de NFTs do mundo, que registou em agosto do ano passado um volume de transação de 3.4 mil milhões de dólares. Caso fossem exploradas, as falhas de segurança permitiriam o roubo de contas de utilizadores e respetivas carteiras de criptomoedas através do envio de NTFs maliciosos.

Em comunicado, os especialistas da empresa de cibersegurança explicam que decidiram investigar a situação após surgirem vários relatos de NFTs maliciosos alegadamente enviados a utilizadores da plataforma OpenSea.

A Check Point Research contactou uma vítima deste tipo de ataque que confirmou ter interagido com um NFT recebido via Airdrop, o serviço de partilha de ficheiros através de Wi-Fi da Apple, antes de ter a sua conta roubada.

Os investigadores indicam que, para explorar de forma bem-sucedida as vulnerabilidades, os atacantes precisariam primeiro de criar e enviar um NFT malicioso para um utilizador da OpenSea.

A vítima vê o NFT malicioso, no seguimento de um pop-up do domínio de armazenamento da OpenSea que solicita o acesso à sua carteira de criptomoedas. Caso a vítima aceda ao pedido, os atacantes podem obter o dinheiro da carteira, desencadeando um pop-up adicional, também enviado a partir do domínio de armazenamento da OpenSea. O utilizador pode facilmente clicar no pop-up, se não reparar na nota que descreve a transação

De acordo com a empresa de cibersegurança, pode também dar-se o caso de a vítima ver um aviso a confirmar a transação de dinheiro. Note que a OpenSea não requer uma aprovação de carteira de criptomoedas para ver o clicar sobre links terceiros

Check Point Research | Vunetablidades | NFTs
Exemplo de aviso que pode aparecer à vítima em caso de ataque. créditos: Check Point Research

As conclusões da investigação foram partilhadas com a OpenSea a 26 de setembro e, uma hora depois, a plataforma resolveu a questão, emitindo uma correção. A empresa de cibersegurança trabalhou em colaboração com a equipa da OpenSea para assegurar que a correção da vulnerabilidade estava operacional e que todos os que todos os vetores de ataque estavam fechados.

“Dado o ritmo absoluto da inovação, há um desafio inerente à integração segura de aplicações de software e mercados de criptomoedas”, afirma Oded Vanunu, Head of Products Vulnerabilities Research at Check Point Software.

Vendas de NFTs valeram 2,5 mil milhões de dólares até junho 
Vendas de NFTs valeram 2,5 mil milhões de dólares até junho 
Ver artigo

O responsável indica que os atacantes “sabem que têm agora uma janela aberta para tirar partido, já que o interesse dos utilizadores está a aumentar e as medidas de segurança neste campo têm ainda um longo caminho a percorrer”. “Advertimos firmemente a comunidade OpenSea a estar atenta a quaisquer atividades suspeitas, pois acreditamos que os atacantes continuarão a expandir os seus esforços, no sentido de encontrar vulnerabilidades e tirar proveito das mesmas”, enfatiza.

Já a OpenSea afirma que a segurança é uma prioridade e, embora não tenha “conseguido identificar quaisquer casos onde a vulnerabilidade em questão tenha sido explorada”, está a tomar medidas para evitar incidentes futuros, assim como para prevenir fraudes e ataques de phishing com maior eficácia.

Se é um entusiasta de NFTs e usa a OpenSea, a Check Point Research recomenda que se mantenha particularmente atento quando recebe pedidos de acesso à carta de criptomoedas online. Antes de aprovar qualquer pedido, os utilizadores devem rever com atenção o que está a ser solicitado e verificar se é normal ou suspeito.