• 黑客现在正试图通过恶意的NFTs窃取加密货币

  • 不可伪造的代币,NFTs,是将所有权与现实世界的物品或物体(如艺术品、音乐、视频等)联系起来的数字资产。

    虽然它们的功能与加密货币相同,但它们并不是货币。NFTs具有很强的投机性,通常能卖到数百万美元。然而,不是每个投资者都应该渴望它们。

    从流行的备忘录到像素漫画,最近,不可伪造的代币的人气一直在飙升。不幸的是,此举并非没有被利用的攻击。

    Check Point Research(CPR)的报告揭示了OpenSea NFT市场中用户账户被黑的情况。该协议的NFT中的一些错误导致所有用户的加密货币钱包被盗,并转移了恶意的NFT。

    报道后,将启动调查。它将涵盖免费空投的恶意NFT,作为账户黑客和加密货币盗窃的出口。

    黑客以NFT为目标,开展邪恶的活动

    问题的来源不仅仅是NFT和空投。然而,通过向受害者释放NFT,他们会看到它。然后,会有一个后续信息,要求提供连接到钱包的签名。

    此外,还会出现一个提示性的二次签名请求。如果用户接受了,黑客就会进入毫无戒心的用户的钱包和资金。

    对于OpenSea的情况,安全错误使协议团队有权上传一个包含恶意有效载荷的SVG文件。这个上传将从Opensea的存储子域操作。

    CPR在评论这一情况时说,在点击第三方的图片后,用户被要求使用他们的钱包签名。它提到,这样的要求与OpenSea的常规做法相去甚远。这是因为它与OpenSea提供的服务相当不同,比如购买或收藏某项物品和提供优惠。

    尽管如此,大多数用户可能会被引诱去批准这个连接。原因是交易操作域来自OpenSea,它可能是其他NFT操作中可获得的。

    9月26日,CPR团队向OpenSea透露了其所有发现。这确保了市场在一小时内迅速采取行动,优先处理和验证安全缺陷,并提出解决方案。

    最后,OpenSea发表了一份公开声明,对CPR团队提请他们注意这个漏洞表示感谢。同时,它也承认在调查和实施解决方案期间,各团队在一小时内加入他们的努力。

    OpenSea提到,这些攻击依赖于用户通过第三方钱包提供商对恶意活动的批准。因此,用户有可能链接他们的钱包并授权恶意交易。

    What's your reaction?
    Happy0
    Lol0
    Wow0
    Wtf0
    Sad0
    Angry0
    Rip0