A partir de relatos sobre o roubo de carteiras de criptomoedas no OpenSea, o maior marketplace de NFT do mundo, a equipe da Check Point Research decidiu pesquisar e analisar a plataforma, tendo identificado um conjunto de vulnerabilidades críticas que, se exploradas, permitiriam, de fato, que o envio de um NFT malicioso sequestrasse uma conta e a respectiva carteira. Os detalhes e a declaração do OpenSea a respeito estão nesta matéria.
Durante as últimas semanas, a equipe da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd, uma fornecedora líder de soluções de cibersegurança global, identificou vulnerabilidades críticas de segurança no OpenSea. Se não fossem corrigidas, as vulnerabilidades poderiam permitir que cibercriminosos sequestrassem contas de usuários e roubassem carteiras inteiras de criptomoedas criando NFTs (Non-Fungible Token, em inglês, ou Tokens não-intercambiáveis, em português) maliciosos. O OpenSea é conhecido como o maior mercado de NFT do mundo, registrando US$ 3,4 bilhões em volume de transações apenas em agosto de 2021.
A pesquisa da CPR sobre o OpenSea foi motivada por relatos de distribuições gratuitas de NFTs (“airdrops”) supostamente oferecidos aos usuários. Isso chamou muito a atenção da equipe da CPR que, inclusive, se correspondeu com uma vítima de uma carteira criptográfica roubada que confirmou a interação com um objeto distribuído (airdropped object) antes do roubo da conta.
Metodologia da exploração da vulnerabilidade
A equipe da CPR foi capaz de identificar falhas críticas de segurança no OpenSea, provando que um NFT malicioso poderia ser usado para sequestrar contas e roubar carteiras criptográficas. A exploração bem-sucedida das vulnerabilidades teria exigido as seguintes etapas:
O atacante cria e oferece um NFT malicioso para uma vítima alvo;
A vítima visualiza o NFT malicioso disparando um pop-up do domínio de armazenamento do OpenSea, o qual solicita conexão com a carteira de criptomoeda da vítima (tais pop-ups são comuns na plataforma em várias outras atividades);
A vítima clica para conectar sua carteira, a fim de realizar uma ação no NFT recebido, permitindo assim o acesso à sua carteira;
O atacante pode obter o dinheiro da carteira acionando um pop-up adicional, que também é enviado do domínio de armazenamento do OpenSea. O usuário é obrigado a clicar na janela de pop-up, caso não perceba a nota nela que descreve a transação;
O resultado final poderia ser o roubo de toda a carteira de criptomoedas de um usuário.
Correção e declaração do OpenSea
A equipe da CPR divulgou imediatamente e com responsabilidade as suas descobertas ao OpenSea no dia 26 de setembro de 2021 (domingo). Em menos de uma hora após o contato recebido dos especialistas da Check Point Software, o OpenSea corrigiu o problema e lançou a correção. O trabalho próximo e em colaboração entre ambas as equipes CPR e OpenSea garantiu que a correção funcionasse acertadamente. O OpenSea respondeu rápida e adequadamente, além de ter compartilhado arquivos svg contendo objetos iframe de seu domínio de armazenamento, de modo que a CPR pôde revisar em conjunto e certificar-se de que todos os vetores de ataque fossem fechados.
O OpenSea, em declaração à Check Point Software, afirmou que a segurança é fundamental para sua plataforma, ressaltando o quão importante foi a equipe da CPR ter informado sobre esta vulnerabilidade e colaborado com sua equipe, enquanto investigavam a respeito e implementavam uma correção num período de tempo de uma hora após o conhecimento do problema.
“Esses ataques teriam se baseado na aprovação de atividades maliciosas por parte dos usuários por meio de um provedor de carteira terceirizado, conectando sua carteira e fornecendo uma assinatura para a transação maliciosa. Não conseguimos identificar nenhuma instância em que essa vulnerabilidade foi explorada, mas estamos coordenando diretamente com carteiras de terceiros que se integram à nossa plataforma sobre como ajudar os usuários a identificar as solicitações de assinaturas maliciosas, bem como outras iniciativas para ajudá-los a impedir com maior eficácia os golpes e ataques de phishing”, informa o OpenSea em comunicado à Check Point Software.
E conclui que “também estamos redobrando a educação da comunidade sobre as melhores práticas de segurança e lançamos uma série de blogs sobre como permanecer seguro na web. Incentivamos tanto aos novos como aos experientes usuários a acompanharem essa série de conteúdo. Nosso objetivo é capacitar a comunidade para detectar, mitigar e relatar ataques no ecossistema de blockchain”.
Como se proteger deste tipo de golpe
A CPR recomenda ter cuidado ao receber solicitações para assinar sua carteira online. Antes de aprovar uma solicitação, o usuário deve revisar cuidadosamente o que está sendo solicitado e considerar se o pedido é anormal ou se suspeita do mesmo. Se o usuário tiver alguma dúvida, deverá rejeitar a solicitação e examinar mais detalhadamente, antes de conceder qualquer autorização.
“O nosso interesse em pesquisar a plataforma OpenSea deu-se a partir de conversas online que vimos sobre carteiras criptográficas roubadas. Especulamos que existia um método de ataque à solta em torno do OpenSea e, então, iniciamos uma investigação completa da sua plataforma. O resultado foi a descoberta de uma maneira de roubar carteiras criptográficas de usuários, simplesmente enviando um NFT malicioso por meio do OpenSea”, explica Oded Vanunu, head de pesquisa de vulnerabilidades de produtos da Check Point Software.
Vanunu informa que comunicaram imediatamente e com responsabilidade as descobertas sobre as vulnerabilidades críticas ao OpenSea, que rapidamente trabalhou em conjunto para implementar uma correção. “Acredito que os resultados de nossas pesquisas e a ação rápida do OpenSea evitarão roubos de carteiras criptográficas de usuários. A inovação do blockchain está em andamento e os NFTs estão aqui para ficar. Dado o grande ritmo de inovação, existe um desafio inerente à integração segura de aplicativos de software e mercados de criptografia”, avalia Oded Vanunu.
“Os cibercriminosos sabem que têm uma janela aberta agora para aproveitar, com o aumento da adoção do consumidor, enquanto as medidas de segurança neste espaço ainda precisam ser atualizadas. A comunidade de segurança cibernética deve se esforçar para apoiar a proteção de tecnologias pioneiras de blockchain e os ativos criptográficos dos consumidores. Advertimos fortemente a comunidade OpenSea para ficar atenta a atividades suspeitas que possam levar ao roubo, pois acreditamos que os atacantes continuarão a expandir suas ações, a fim de sequestrar carteiras criptográficas enquanto exploram vulnerabilidades do sistema”, orienta Oded Vanunu.
Assista ao vídeo no qual a equipe da Check Point Research (CPR) desvenda vulnerabilidades no mercado OpenSea NFT que podem ter levado ao roubo de carteira de criptomoeda.