Hacker có thể đánh cắp tiền ảo từ ví nhờ một lỗ hổng nghiêm trọng trong OpenSea - Bảo mật

Hacker có thể đánh cắp tiền ảo từ ví nhờ một lỗ hổng nghiêm trọng trong OpenSea
Lỗ hổng trong OpenSea

Một lỗ hổng hiện đã được vá trong OpenSea – sàn token NFT (Token không thể thay thế) lớn nhất thế giới có thể đã bị các hacker lạm dụng để đánh cắp tiền ảo từ ví của nạn nhân bằng cách gửi một token được thiết kế đặc biệt, mở ra một lỗ hổng mới để tấn công.

Các phát hiện này tới từ công ty an ninh mạng Check Point Research, họ đã bắt đầu một cuộc điều tra về nền tảng này theo một vài báo cáo về việc tiền ảo ở trong ví bị đánh cắp sau khi nhận được các token NFT được phát miễn phí. Lỗ hổng này đã được vá trong vòng một tiếng đồng hồ kể từ khi được phát hiện vào ngày 26/9/2021.

“Nếu không được vá kịp thời, các hacker có thể lợi dụng lỗ hổng để đánh cắp tài khoản của người dùng và lấy đi toàn bộ tiền ảo trong ví bằng cách tạo các NFT độc hại”, các chuyên gia của Check Point Research cho hay.

Đúng như với tên, NFT là các tài sản kỹ thuật số bao gồm ảnh, video, file âm thanh và các thứ khác có thể bán và trao đổi trên blockchain, sử dụng công nghệ này để chứng nhận quyền sở hữu một cách hợp pháp.

Các hacker tấn công dựa vào việc gửi cho nạn nhân một đoạn mã NFT độc, khi nạn nhân ấn vào sẽ dẫn tới tình huống bên cung cấp dịch vụ ví ảo thứ ba tạo điều kiện cho các giao dịch chưa được phép bằng cách sử dụng chữ ký của nạn nhân để kết nối với ví của họ và thực hiện các hành động kể cả khi chưa có sự chấp thuận. Các chuyên gia cho rằng người dùng cần cảnh giác cao độ với những gì họ ký trên OpenSea, cũng như là các nền tảng NFT khác và liệu điều đó có dẫn tới các hành động đúng như mong muốn hay không”.

OpenSea cho biết rằng họ chưa phát hiện trường hợp nào lỗ hổng này bị khai thác trên diện rộng. Họ cũng cho biết thêm rằng họ đang làm việc với các bên cu dịch vụ cung cấp ví thứ ba nhằm “giúp người dùng nhận dạng các yêu cầu cung cấp chữ ý độc hại và tránh khỏi các hình thức lừa đảo phising với sự hiệu quả cao hơn.”

Oded Vanunu, chuyên gia đứng đầu về nghiên cứu lỗ hổng của Check Point cho biết: “Công nghệ blockchain đang phát triển rất nhanh và NFT sẽ được sử dụng lâu dài. Với tốc độ phát triển vũ bão, có những thách thức nhất định trong việc bảo đảm an toàn cho các ứng dụng cũng như thị trường tiền ảo”. Ông cũng cho biết thêm rằng :”Các kẻ xấu biết rằng chúng có một cơ hội ngay bây giờ để tận dụng với việc lượng người tiêu dùng tăng đột biến trong khi các biện pháp bảo mật trong lĩnh vực này vẫn cần phải cải thiện”.

The Thehackernews

The post Hacker có thể đánh cắp tiền ảo từ ví nhờ một lỗ hổng nghiêm trọng trong OpenSea appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/3n5xLAr

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more