Die größte Handelsplattform für Non-Fungible Tokens (NFT), OpenSea, hatte in der Vergangenheit bereits mit Problemen zu kämpfen. Nun wurde bekannt · dass eine kritische Sicherheitslücke auf der Website existierte · die möglicherweise von Hackern ausgenutzt wurde. Die IT-Sicherheitsfirma Check Point entdeckte die Schwachstelle in den OpenSea-Wallets und informierte das Unternehmen. Innerhalb einer Stunde wurde die Lücke bereits geschlossen. Durch die Untersuchung wurden 77 bösartige NFTs entdeckt freilich konnten bisher keine erfolgreichen Angriffe aufgedeckt werden.
Kritische Sicherheitslücke gefährdete Wallets und Accounts
Die Entdeckung der Schwachstelle erfolgte wie Sicherheitsforscher durch Meldungen über geschenkte NFTs auf Angriffe aufmerksam wurden. Danach untersuchten sie die Plattform auf Sicherheitslücken und fanden die kritische Schwachstelle. Hacker hätten durch diese Lücke die Möglichkeit gehabt die Krypto-Wallets und Accounts der Benutzer zu übernehmen.
Die mögliche Ausnutzung der Lücke
Der Angriff hätte folgendermaßen ausgesehen: Ein böswilliger Hacker erschafft eine bösartige Geschenk-NFT mit einem SVG-Bild als Inhalt, das er dem Opfer übermittelt. Das Opfer öffnet das Bild in einem neuen Tab oder Fenster, mittels welchem ein Pop-up von der Storage-Domain von OpenSea ausgelöst wird. In diesem Pop-up wird eine Verbindung zur Wallet des Opfers von einem Drittanbieter-Walletprovider angefragt. Wenn das Opfer zustimmt, wird in einem weiteren Pop-up eine Transaktion unterzeichnet die das Opfer unabsichtlich NFTs oder Kryptowährungen an den Angreifer senden lässt.
Schnelle Reaktion von OpenSea
Check Point Research informierte OpenSea über die kritische Lücke und das Unternehmen reagierte schnell. Innerhalb einer Stunde ab dem Meldungszeitpunkt wurde die Schwachstelle geschlossen. OpenSea untersuchte daraufhin 73 Millionen Objekte und 4⸴4 Millionen SVG-Dateien. Es wurden 77 bösartige NFTs entdeckt und ebenfalls Berichte von Nutzern im Zusammenhang mit der Sicherheitslücke untersucht. Bisher konnten jedoch keine erfolgreichen Angriffe aufgedeckt werden.
Kommentare
OpenSea hat schnell auf die entdeckte Sicherheitslücke reagiert und diese geschlossen. Es wurden jedoch bösartige NFTs entdeckt – die auf die Schwachstelle zurückzuführen sind. Benutzer sollten deshalb weiterhin vorsichtig sein und verdächtige Bilder & Geschenke ebendies prüfen, bevor sie Transaktionen unterzeichnen oder durchführen. Unternehmen sollten regelmäßig ihre Sicherheitsmaßnahmen überprüfen und optimieren um solche Lücken in Zukunft zu vermeiden.