Opensea 漏洞允许使用免费 NFT 作为诱饵抢劫用户

关键事实：

在他们尝试接收免费数字艺术时，受害者可能会失去全部平衡。

NFT 市场本可以纠正允许盗窃加密资产的漏洞。

向 Opensea 用户免费提供的不可替代的代币 (NFT) 可以成为恶意行为者窃取其受害者钱包中所有资产的诱饵。

以色列安全公司 Check Point Research 的一项调查发现Opensea 的漏洞，最大的平台之一用于交易收藏代币。

Check Point 研究人员模拟了一次攻击，目的是发现为什么会有这么多 Opensea 用户报告在您收到礼物 NFT 后盗窃您的资产. 所以他们创造了一个情境，让他们看看这是否可能。

通过向特定受害者赠送 NFT 来实现攻击场景目的是耗尽您投资组合中的资产. 在受害者领取礼物收藏代币的那一刻，他们会打开一系列恶意弹出窗口，设计看起来像 Opensea，要求他们将用户的钱包连接到平台。

一旦受害者按照弹出窗口中指示的指示进行操作，就会激活将资金转移到攻击者控制的钱包中。 如果当时用户没有注意或没有意识到发生了什么，他们就会签署资金转移会让你的所有资产都落入黑客手中.

Check Point Research 的研究人员能够证明恶意行为者如何从 Opensea 用户那里窃取资金。 资料来源：检查点。

在我们的攻击场景中，用户被要求在点击从第三方收到的图像后从他们的钱包中签署一笔转账，这是 OpenSea 中的意外行为，因为它与平台提供的服务无关。 但是，由于事务操作的域是 OpenSea 本身，并且由于这是受害者通常在另一个操作中获得的操作，因此可以导致他批准连接。

Check Point 研究团队。

在所有部分工作后，攻击的最后一步是将 NFT 转移给受害者。 然后，此转移将毫无问题地进行，受影响的用户会将代币添加到他们的收藏中，没有发现发生了什么.

这家安全公司在其报告中指出，它警告该公司发现漏洞，并及时解决，甚至与研究人员合作以确保解决方案有效。 在任何情况下，都没有添加 Opensea 如何解决这些故障的详细信息。 也不知道说他们遭到袭击的人后来怎么样了。

该安全公司指出：“OpenSea 响应迅速并共享了包含来自其存储域的嵌入对象的 NFT，因此我们可以一起审查它并确保关闭所有攻击媒介。”

Opensea，一个需要谨慎导航的生态系统

这不是第一次错误或诈骗报告针对生态系统中最大的 NFT 市场。 正如 CriptoNoticias 在 9 月中旬报道的那样，该公司自己的产品总监利用他对市场内部运作的了解来获取个人利益。

Nate Chastain 在相当长的一段时间内执行了一系列操作允许他赚取 19 以太币 (ETH)欺诈地。 他以低价购买了 NFT，因为他知道以后出现在网站的首页会升值。 当时，他以高出数倍的价格出售它们。 该公司承认了这一事实，查斯坦后来被解雇了。

也是上个月，一个 Opensea 错误导致至少 42 个可收集代币消失价值约 28 个以太币 (ETH)。 该漏洞将 42 个 NFT 转移到销毁列表，影响了平台用户的 21 个以上不同帐户。

在这些被销毁的代币中，有一个是整个生态系统中最古老的去中心化域名，rilxxlir.eth。 2017 年首批注册并可供拍卖的公司之一。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/falla-opensea-permitia-robar-usuarios-nft-gratis-senuelo/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。