OpenSea ha comunicato di aver risolto una vulnerabilità che consentiva il furto delle criptovalute attraverso l’invio di un NFT infetto. Il bug è stato scoperto e segnalato dagli esperti di Check Point Research. L’azienda di New York, che gestisce il più grande marketplace NFT del mondo, è stata coinvolta in un recente caso di insider trading.
Falsi NFT per rubare le criptovalute
Check Point Research ha avviato le indagini sul problema di sicurezza in seguito alle segnalazioni di alcuni utenti che hanno ricevuto “airdropped NFT” in regalo. Dopo aver scoperto l’esistenza della vulnerabilità nella piattaforma, i ricercatori hanno subito contattato OpenSea. L’azienda newyorchese ha corretto il bug in meno di un’ora. OpenSea ha spiegato come sarebbe avvenuto l’attacco che porta al furto delle monete digitali, sottolineando che richiede l’intervento dell’utente.
- Il malintenzionato crea e invia alla vittima un NFT che include un file SVG.
- La vittima apre l’immagine in una nuova scheda o finestra. Viene quindi mostrato un pop-up con la richiesta di connessione al portafoglio digitale.
- Se l’utente accetta la richiesta viene mostrato un secondo pop-up con la richiesta di approvare la transazione.
È chiaro che l’accesso al portafoglio digitale e il conseguente furto delle criptovalute avvengono solo se l’utente non riconosce il pericolo. Dal dettaglio della transazione dovrebbe essere chiaro che si tratta di un’operazione sospetta. Le immagini di terze parti su OpenSea non richiedono la connessione al wallet. Chech Point Research ha confermato che la vulnerabilità è stata risolta.