นักวิจัยด้านความปลอดภัย พบว่าแฮกเกอร์สามารถทำให้เจ้าของบัญชี OpenSea ไม่มียอดคงเหลือใน Wallets ได้โดยการล่อให้เหยื่อคลิก NFT art ที่เป็นอันตราย
OpenSea เป็นตลาดซื้อขาย, ประมูล non-fungible tokens (NFTs) และสินทรัพย์ดิจิทัลอื่นๆ ที่ใหญ่ที่สุดในโลก ด้วยมูลค่าธุรกรรมถึง 3.4 พันล้านดอลลาร์
ปัญหาเกิดจากที่แพลตฟอร์ม OpenSea สามารถทำให้แฮกเกอร์โจมตีบัญชีผู้ใช้ และขโมยกระเป๋าเงินดิจิตอล (Wallets) ด้วยวิธีการง่ายๆ คือการสร้าง NFT ที่มี payload ที่เป็นอันตราย และรอให้เหยื่อคลิกดู โดยพบผู้ใช้หลายราย แจ้งว่า กระเป๋าเงินดิจิทัล (Wallets) ว่างเปล่า หลังจากได้รับโฆษณาจาก OpenSea ซึ่งเป็นกลยุทธ์ทางการตลาดที่เรียกว่า "airdropping" ที่ใช้เพื่อโปรโมท Asset ใหม่ๆ
นักวิจัยจาก Check Point ได้ตัดสินใจตรวจสอบวิธีการทำงานของแพลตฟอร์มอย่างละเอียด และตรวจหาช่องโหว่ ซึ่งมีสรุปการโจมตีดังนี้:
- แฮ็กเกอร์ทำการสร้าง และส่ง NFT ที่เป็นอันตรายให้แก่เหยื่อ
- เมื่อเหยื่อเปิดดู NFT ที่เป็นอันตราย จะเรียกป๊อปอัปจากโดเมนการจัดเก็บของ OpenSea และขอเชื่อมต่อกับกระเป๋าเงิน Cryptocurrency ของเหยื่อ
- เหยื่อคลิกเพื่อเชื่อมต่อกระเป๋าเงินของตัวเอง และดำเนินการกับ NFT ที่ส่งให้ ซึ่งทำให้แฮ็กเกอร์สามารถเข้าถึงกระเป๋าเงินของเหยื่อได้
- แฮ็กเกอร์สามารถรับเงินในกระเป๋าเงินได้โดยเปิดป๊อปอัปเพิ่มเติม ซึ่งส่งมาจากโดเมนการจัดเก็บของ OpenSea โดยเหยื่อมีแนวโน้มที่จะคลิกป๊อปอัปโดยไม่อ่านข้อความที่อธิบายธุรกรรมที่เกิดขึ้น
รายละเอียดการตรวจสอบข้อผิดพลาด
บัญชี OpenSea ต้องมีการเชื่อมต่อกระเป๋าเงิน cryptocurrency ของ third-party นักวิจัยจึงเลือกใช้ MetaMask ที่ได้รับความนิยมมากที่สุด โดยการเชื่อมต่อกับ wallet จะเกิดขึ้นเมื่อมีการดำเนินการใดๆ กับบัญชี รวมถึงการกดถูกใจงานศิลปะ (NFT art) ในระบบ ซึ่งจะทำให้เกิดคำขอลงชื่อเข้าใช้ Wallet
แพลตฟอร์ม OpenSea เปิดให้ทุกคนสามารถขายงานศิลปะดิจิทัล เป็นไฟล์ขนาดใหญ่ได้ถึง 40MB โดยมีนามสกุลดังต่อไปนี้: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF ทีมนักวิจัย Check Point จึงได้อัปโหลดภาพ SVG ที่มีโค้ด JavaScript ที่เป็นอันตรายไปยังระบบ OpenSea เมื่อคลิกเพื่อเปิดในแท็บใหม่ จะสังเกตเห็นว่าไฟล์ทำงานภายใต้โดเมนย่อย 'storage.opensea.io' นอกจากนี้ทีม Check Point ยังเพิ่ม iFrame ให้กับรูปภาพ SVG ให้มีการโหลดโค้ด HTML ที่จะโจมตีไปยัง “window.ethereum” เพื่อการเปิดการเชื่อมต่อกับกระเป๋าเงิน Ethereum ของเหยื่อ
ในการทดสอบนี้ พบว่า หลังจากคลิกรูปภาพ ผู้ใช้จะถูกขอให้ลงชื่อเข้าใช้ด้วย Wallets ซึ่งสังเกตว่าพฤติกรรมลักษณะนี้ไม่สอดคล้องกับบริการของแพลตฟอร์ม OpenSea เช่น การซื้อสินค้า การยื่นข้อเสนอ หรือกดชื่นชอบรายการสินค้า
นักวิจัยของ Check Point ได้แจ้งไปยัง OpenSea เกี่ยวกับการค้นพบ เมื่อวันที่ 26 กันยายน และได้ร่วมมือกันแก้ไขปัญหา โดย OpenSea ค้นพบวิธีแก้ปัญหาภายในเวลาไม่ถึงชั่วโมง หลังจากมีการเปิดเผยข้อผิดพลาดนี้
OpenSea กล่าวว่าไม่สามารถระบุถึงกรณีการใช้ประโยชน์จากช่องโหว่นี้ แต่เน้นสร้างความตระหนักและให้ข้อมูลเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด
ที่มา: bleepingcomputer.com