Эксплуатация проблем позволяла перехватывать контроль над учетными записями и криптокошельками пользователей.
Специалисты из Check Point Software обнаружили критические уязвимости на сайте торговой площадки OpenSea. Эксплуатация проблем позволяла хакерам перехватывать контроль над учетными записями и криптокошельками пользователей путем отправки вредоносных NFT-токенов.
Атака основывалась на невнимании пользователя и на том факте, что OpenSea генерирует множество всплывающих окон. Если жертва получала и просматривала вредоносный NFT-токен, он запускал всплывающее окно из домена хранилища OpenSea с запросом подключения к криптовалютному кошельку жертвы. Нажатие на всплывающее окно предоставляло хакеру доступ к кошельку и вызывало еще одно всплывающее окно. Если пользователь щелкал по нему, не заметив примечания с описанием транзакции, злоумышленник мог похитить все денежные средства.
ИБ-эксперты сообщили OpenSea о своих находках, и администрация торговой площадки выпустила исправление для проблем.
Источник: securitylab