• 發布單位:TWCERT/CC
• 更新日期:2021-10-20
• 點閱次數:308

資安廠商發現熱門 NFT 交易所 OpenSea 存有一個漏洞，駭侵者可以藉以竊走 NFT 交易者錢包中所有的加密貨幣。

資安廠商 Check Point 旗下資資安研究人員，近日發現熱門「非同質性加密貨幣」(Non-Fungible Token, NFT） 交易所 OpenSea 存有一個漏洞；駭侵者可以透過特製的 NFT，藉以竊走 NFT 交易者錢包中所有的加密貨幣。

資安專家指出，駭侵者發動攻擊的方法相當簡單，只要製作一個含有惡意程式碼酬載的 NFT，等待受害者打開該 NFT 來檢視內容即可。

Check Point 在發現許多 OpenSea 用戶遭駭後，開始研究 OpenSea 的平台機制。專家發現 OpenSea 帳號係透過第三方加密貨幣錢包軟體（如 MetaMask）來運作，用戶的任何動作，例如在某個 NFT 藝術品上按讚，都會觸發錢包軟體對 OpenSea 發出登入要求。

Check Point 的資安專家，上傳一個夾帶有一段 JavaScript 惡意程式碼的 SVG 檔到 OpenSea 平台上，然後點按該圖檔，瀏覽器便會自動開啟一個新頁籤，並且在一個名為 storage.opensea.io 的網域中執行這段 JavaScript 程式碼；而資安專家便在 SVG 中安插另一段程式碼，可以直接開啟用戶的加密貨幣錢包。

因此，資安專家指出，攻擊者可以藉由空投活動，發送夾帶惡意程式碼的特製 NFT，讓受害者誤以為自己獲得 NFT 空投獎勵，駭侵者即可讓受害者開啟其加密貨幣錢包；此時可以再顯示另一個彈跳視窗，內含發送錢包內加密貨幣到駭侵者指定位址的指令，如果受害者不細檢閱內容，按下發送按鈕，就會將自己的加密貨幣轉帳給駭侵者。

Check Point 在發現此漏洞後，於 9 月 26 日通知 OpenSea；雙方的資安人員很快在 1 小時後修復此漏洞；但目前無法估計因此漏洞造成的損失總額。