OpenSea corrige falha que permitia ataque hacker com NFT malicioso

Falha possibilitava que hackers roubassem NFTs da carteira digital MetaMask, vinculada à conta da OpenSea, ao forçar pop-ups de confirmação de transferências

Bruno Ignacio
• Atualizado há 3 anos e 1 mês

A OpenSea, um dos principais marketplaces de NFTs (tokens não fungíveis) do mercado, afirmou que corrigiu vulnerabilidades que permitiam que hackers roubassem ativos digitais após enviar arquivos carregados com códigos maliciosos como NFTs. O problema havia sido encontrado pela empresa de segurança digital Check Point Research após múltiplos usuários da plataforma afirmarem ter sido hackeados nas redes sociais.

Tokens não fungíveis, ou NFTs (Imagem: Marco Verch/Flickr)
Tokens não fungíveis, ou NFTs (Imagem: Marco Verch/Flickr)

Pesquisadores da companhia conversaram com pessoas que disseram ter sofrido ataques e encontraram vulnerabilidades na plataforma OpenSea, provando então que os ataques relatados poderiam ocorrer ao se receber um NFT com códigos maliciosos. As falhas foram enviadas para o marketplace, que então trabalhou em conjunto com a empresa e as consertou dentro de uma hora. Além disso, a plataforma também garantiu que as correções funcionassem, afirmou a Check Point Research em uma postagem de blog.

Invasões exigiam falta de atenção de usuários

Ainda que a falha fosse grave e permitisse, no pior dos casos, que carteiras digitais tivessem todos seus ativos roubados, o exploit das falhas não era facilmente aplicado. Para que o golpe ocorresse, os hackers precisavam enviar um NFT de um arquivo carregado com o código malicioso como um “presente” para a possível vítima. No entanto, o código só era ativado se o usuário em questão abrisse o arquivo a partir de sua conta do OpenSea.

Nesse processo é necessário passar por várias janelas, inclusive algumas que revelam detalhes da transação e de quem enviou o NFT. Porém, caso um usuário ainda assim abrisse o arquivo atrelado ao token não fungível em sua conta OpenSea, os hackers receberiam informações de sua carteira digital MetaMask, instalada como uma extensão de navegador e vinculada ao marketplace.

Ou seja, a situação se tornava perigosa apenas ao visualizar por completa a imagem atrelada ao NFT recebido, como ao clicar no botão direito do mouse e em “abrir imagem em uma nova guia”. Assim, o código iria automaticamente iniciar uma janela pop-up solicitando acesso a sua carteira digital MetaMask. Caso o usuário concedesse o acesso, os hackers poderiam roubar as informações da carteira e forçar outros pop-ups solicitando aprovações de transferências.

Notificação pop-up da carteira MetaMask para aceitar uma transação entre carteiras digitais (Imagem: Reprodução)
Notificação pop-up da carteira MetaMask para aceitar uma transação entre carteiras digitais (Imagem: Reprodução)

Pode parecer um golpe muito difícil de se concretizar, mas as vítimas relataram que, se você não está prestando atenção, clicar em um botão em uma simples janela pop-up no canto do seu navegador pode parecer bem intuitivo para se livrar dela se sobrepondo a sua tela.

OpenSea não identificou nenhuma vítima

Mesmo com diversos relatos no Twitter, a OpenSea afirmou em comunicado que não encontrou nenhum caso de alguém que foi comprovadamente atacado usando esse exploit. Nas redes sociais as vítimas afirmavam apenas que foram hackeadas após receber um NFT de presente na plataforma, sem mais detalhes.

A OpenSea também disse estar trabalhando com os fornecedores e desenvolvedores de carteiras digitais para ajudar pessoas a reconhecer solicitações potencialmente maliciosas. Além disso, a plataforma também anunciou nesta semana que vai esconder NFTs de “alto perfil” das contas se eles pertencerem a coleções não verificadas, evitando fraudes e cópias de trabalhos famosos. Usuários também poderão suspender a opção de compra e venda de ativos se achar que sua carteira digital foi comprometida.

Com informações: The Verge

Relacionados

Escrito por

Bruno Ignacio

Bruno Ignacio

Ex-autor

Bruno Ignacio é jornalista formado pela Faculdade Cásper Líbero. Cobre tecnologia desde 2018 e se especializou na cobertura de criptomoedas e blockchain, após fazer um curso no MIT sobre o assunto. Passou pelo jornal japonês The Asahi Shimbun, onde cobriu política, economia e grandes eventos na América Latina. No Tecnoblog, foi autor entre 2021 e 2022. Já escreveu para o Portal do Bitcoin e nas horas vagas está maratonando Star Wars ou jogando Genshin Impact.