全球最大的NFC 交易平台OpenSea严重漏洞可使黑客窃取钱包密币
编译:代码卫士
网络安全公司 Check Point注意到公开报告称免费的气隙NFT可触发密币钱包被盗后开始调查该平台。2021年9月26日告知 OpenSea后,后者在不到一小时内将问题修复。
研究人员表示,“如不修复,则这些漏洞可导致黑客通过构造恶意 NFTs 劫持用户账户并窃取整个密币钱包。”
如名称所示,NFTs 是可在区块链上出售和交易的唯一数字化资产如照片、视频、音频等,而区块链技术被用作确立验证和公开所有权证据的认证证书。
攻击者向受害者发送恶意 NFT,如点击该 NFT则导致恶意交易通过第三方钱包提供商完成,攻击者只需提供钱包签名连接钱包并以目标身份执行操作即可。研究人员指出,“用户应当对自己在 OpenSea 上和其它 NFT 平台上的签名内容以及是否和预期动作相关了如指掌。”
OpenSea 平台指出尚未发现该漏洞遭在野利用的任何实例,不过表示正在和第三方钱包服务一起“帮助用户更好地识别恶意签名请求,并采取其它措施帮助用户更有效地阻击诈骗和钓鱼攻击。”
“区块链创新如火如荼,而NFTs 仍在原地踏步。单从创新步伐来看,安全集成软件应用程序和密币市场重就存在内在挑战。随着客户应用井喷,恶意人员知道存在一个可以利用的窗口期,而安全措施仍然需要追赶这一趋势。”Check Point 公司的产品漏洞研究主管 Oded Vanunu 表示。
Jenkins 内部服务器遭访问且被部署密币挖机
通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击
有人滥用 GitHub Actions在 GitHub 服务器挖掘密币,且正在蔓延
APT32被指部署密币挖掘恶意软件,越南或成全球网络犯罪中心
https://thehackernews.com/2021/10/critical-flaw-in-opensea-could-have-let.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。