OpenSea 的严重漏洞可能让黑客从钱包中窃取加密货币

OpenSea 是世界上最大的非同质代币 ( NFT ) 的交易市场，其中一个现已修补的严重漏洞可能已被恶意行为者滥用，通过发送特制的代币从受害者身上抽走加密货币资金，从而为开发。

调查结果来自网络安全公司 Check Point Research，该公司在公开报道称免费空投 NFT 触发了加密货币钱包被盗后，开始对该平台进行调查。这些问题在 2021 年 9 月 26 日的负责任披露不到一小时内得到解决。

Check Point 研究人员表示： “如果不打补丁，这些漏洞可能会让黑客劫持用户帐户并通过制作恶意 NFT 窃取整个加密货币钱包。”

顾名思义，NFT 是独特的数字资产，例如照片、视频、音频和其他可以在区块链上出售和交易的物品，使用该技术作为真实性证书来建立经过验证的公开所有权证明。

攻击的作案手法依赖于向受害者发送恶意 NFT，当点击该 NFT 时，会产生这样一种场景，即通过提供钱包签名来连接他们的钱包并对他们的钱包执行操作，就可以通过第三方钱包提供商促进恶意交易。目标的代表。研究人员说：“用户应该非常了解他们在 OpenSea 以及其他 NFT 平台上签名的内容，以及它是否与预期的操作相关联。”

OpenSea 表示尚未发现该漏洞在野外被利用的任何实例，但补充说，它正在与第三方钱包服务合作，以“帮助用户更好地识别恶意签名请求，以及其他帮助用户阻止诈骗和网络钓鱼攻击的举措”具有更大的功效。”

Check Point 产品漏洞研究负责人 Oded Vanunu 表示：“区块链创新正在快速进行，NFT 将继续存在。鉴于创新的绝对速度，安全集成软件应用程序和加密市场存在固有挑战。” “坏人知道他们现在有一个打开的窗口可以利用，随着消费者采用率的飙升，而这个领域的安全措施仍然需要迎头赶上。”