חולשת אבטחה ב-OpenSea, הפלטפורמה הפופולרית בעולם למסחר ב-NFT, איפשרה להאקרים לגנוב ארנקי קריפטו של המשתמשים - כך חושפת היום (ד') חברת אבטחת המידע הישראלית צ'ק פוינט. החולשה דווחה ל-OpenSea ותוקנה על ידה במהירות.
עוד על NFT:
NFT (ראשי תיבות של Non Fungible Tokens, אסימון חסר תחליף) היא תעודת בעלות על נכס דיגיטלי, אשר מבוססת על בלוקצ'יין. הטכנולוגיה הזאת אינה חדשה, אבל בשנה האחרונה המסחר באמצעותה ביצירות אמנות, ממים ונכסים דיגיטליים אחרים זינק באופן דרמטי. בתחילת השנה נמכרה יצירה של האמן Beeple תמורת 69 מיליון דולר, ובהמשך נמכרו גם ממים מפורסמים, הציוץ הראשון בטוויטר ואפילו קוד המקור של האינטרנט. ברבעון השלישי של 2021 נמכרו ב-NFT נכסים בשווי כולל של 10.7 מיליארד דולר.
OpenSea היא הפלטפורמה הפופולרית ביותר בעולם למסחר ב-NFT ובאוגוסט האחרון היא גלגלה עסקאות בהיקף של 3.4 מיליארד דולר. בשבועות האחרונים, בעקבות תלונות של משתמשים רבים על גניבת ארנקי אתריום (המטבע הקריפטוגרפי שמשמש למסחר ב-NFT), החלו חוקרי צ'ק פוינט דיקלה ברדה ורומן זאיקין לחקור את הפלטפורמה. השניים אכן גילו חולשות אבטחה משמעותיות שאפשרו לגנוב את תכולת הארנקים של משתמשים: כל מה שהתוקף צריך לעשות זה לשלוח לקורבן "מתנה" - NFT שמכיל קוד זדוני. ברגע שהקורבן פותח את ה-NFT הזדוני ומתחבר לארנק שלו, התוקף מקבל גישה לארנק ויכול לגנוב את תכולתו המלאה.
טכנולוגיית בלוקצ'יין נחשבת לבטוחה יחסית מכיוון שהיא שומרת את המידע במחשבים שונים ברחבי העולם, במקום במאגר מידע אחד. עם זאת, חולשת האבטחה ב-OpenSea, כמו גם מקרים אחרים של גניבת מטבעות קריפטוגרפיים, מהווים תזכורת לכך שזירת המסחר בבלוקצ'יין אינה בטוחה לחלוטין ועל המשתמשים להיות מודעים לכך. לדברי עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר, "בלוקצ'יין היא טכנולוגיה חדשנית שפותחת שוק חדש ומעניין מאוד, גם להאקרים. המסחר במטבעות דיגיטליים יוצר משטח תקיפה חדש עם פוטנציאל כספי גדול במיוחד, בעוד שמאמצי האבטחה בתחום עדיין לא נמצאים בשלבים מתקדמים דיים כדי להגן על המשתמשים. על כן, יכולנו לאתר חולשות מהסוג הזה, ואני שמח שבשיתוף פעולה מהר עם OpenSea חסמנו את האפשרות לגנוב באופן הזה את תכולת הארנקים של המשתמשים. קהילת הגנת הסייבר צריכה להגביר את המאמצים שלה להגן על משתמשי טכנולוגיות בלוקצ'יין, שכן אנו מאמינים שההאקרים רק יגבירו את פעילותם בממד החדש הזה".
מ-OpenSea נמסר: "אבטחה היא יסוד בסיסי ב-OpenSea ואנו מעריכים את צ'ק פוינט שהעבירה לנו את הממצאים וסייעה לנו בשיתוף פעולה לחקור את הדברים ולתקנם בתוך שעה. התקפות אלה נסמכות על לחיצות של משתמשים על פעילות זדונית בפלטפורמה שמחברת את הארנק (ספק שלישי) לפלטפורמה. בעוד לא הצלחנו לזהות בעצמנו מקרים שבהם החולשה הזו נוצלה, אנו פועלים ישירות עם אותם ארנקים (הספק השלישי) בכדי לעזור למשתמשים לזהות מתי הם מותקפים באמצעות בקשות חתימה זדוניות כדי לסכל הונאות ודיוג. אנחנו גם מכפילים את מאמצינו לחנך את קהילת המשתמשים על שיטות הפעולה המומלצות בתחום אבטחת המידע ונפרסם סדרת בלוגים שיסייעו להישאר בטוחים ברשת המבוזרת. אנו מעודדים משתמשים ותיקים וחדשים כאחד לקרוא את הסדרה. המטרה שלנו היא להעצים את הקהילה לזהות, להקל ולדווח על התקפות במערכת האקולוגית של הבלוקצ'יין, כמו זו שהציגה לנו צ'ק פוינט".