全球最大的NFC 交易平台OpenSea严重漏洞可使黑客窃取钱包密币

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全公司 Check Point注意到公开报告称免费的气隙NFT可触发密币钱包被盗后开始调查该平台。2021年9月26日告知 OpenSea后，后者在不到一小时内将问题修复。

研究人员表示，“如不修复，则这些漏洞可导致黑客通过构造恶意 NFTs 劫持用户账户并窃取整个密币钱包。”

如名称所示，NFTs 是可在区块链上出售和交易的唯一数字化资产如照片、视频、音频等，而区块链技术被用作确立验证和公开所有权证据的认证证书。

攻击者向受害者发送恶意 NFT，如点击该 NFT则导致恶意交易通过第三方钱包提供商完成，攻击者只需提供钱包签名连接钱包并以目标身份执行操作即可。研究人员指出，“用户应当对自己在 OpenSea 上和其它 NFT 平台上的签名内容以及是否和预期动作相关了如指掌。”

OpenSea 平台指出尚未发现该漏洞遭在野利用的任何实例，不过表示正在和第三方钱包服务一起“帮助用户更好地识别恶意签名请求，并采取其它措施帮助用户更有效地阻击诈骗和钓鱼攻击。”

“区块链创新如火如荼，而NFTs 仍在原地踏步。单从创新步伐来看，安全集成软件应用程序和密币市场重就存在内在挑战。随着客户应用井喷，恶意人员知道存在一个可以利用的窗口期，而安全措施仍然需要追赶这一趋势。”Check Point 公司的产品漏洞研究主管 Oded Vanunu 表示。