OpenSea NFT平台漏洞窃取用户加密货币

OpenSea

要在OpenSea上创建账户，需要连接到第三方的加密货币钱包，就像利用Google或Facebook账户登录其他网站一样。

默认钱包和最流行的MetaMask，Check Point研究人员在研究中选择了一个并下载对应的浏览器扩展来打开钱包。

然后就有很多的方法来进行通信：

然后钱包就会弹出，钱包可以通过json-rpc来与以太坊网络进行通信：

OpenSea允许任意用户创建和交易NFT艺术品，最终生成的艺术品扩展可以是：JPG、PNG、GIF、SVG、MP4、WEBM、MP3、WAV、OGG、GLB、GLTF，文件大小限制为40 MB。

漏洞分析

研究人员在OpenSea平台上发现一个安全漏洞，攻击者利用该漏洞可以劫持用户账户，并窃取关联的加密货币钱包中的加密货币。

滥用钱包功能是通过以太坊RPC-API来完成的，API会开启与MetaMask的通信，并打开连接到钱包的弹窗。

然后攻击者需要受害者与合法的弹窗窗口进行交互，所以可以以受害者身份来执行动作。

OpenSea NFT触发连接到MetaMask的弹窗

Check Point研究人员将攻击流程总结如下：

• 黑客创建一个恶意NFT，并以礼物的形式发送给目标受害者；

• 受害者查看恶意NFT，这会触发来自OpenSea存储子域名的弹窗，请求连接受害者的加密货币钱包；

• 受害者可以触发其他来自OpenSea存储域名的弹窗来获取受害者钱包中的加密货币。

Check Point已于9月26日将这一安全问题报告给了OpenSea，OpenSea已经提出了解决方案，并称没有发现利用该漏洞的情况。但建议社区应用最佳安全实践，尤其注意垃圾邮件和钓鱼邮件。 

USENIX Security 21:ALPACA新型TLS攻击针对安全网站发起跨协议攻击

OWASP Top 10 2021

IEEE S&P 22: Spook.js

关于国家网络安全先进集体和先进个人拟表彰对象的公示

iOS 0day漏洞PoC

CVE-2021-36260：海康威视远程代码执行漏洞

为修复漏洞，TensorFlow不再支持YAML

你敢信！功能机暗含恶意软件

BrakTooth漏洞影响数百万蓝牙设备

连接特定WiFi可破坏iPhone无线功能

RockYou2021：84亿密码记录数据集

Huawei无线上网卡权限提升漏洞

2021工程院院士二轮候选人235位，信息与电子学部31人，工程管理学部18人

Amazon Sidewalk项目将自动分享WiFi

IEEE SP21:PDF Certification存在漏洞，影响24款pdf软件

苹果M1芯片隐蔽信道漏洞，目前没有修复方案

IEEE S&P 21：VISA支付卡协议标准EMV中爆安全漏洞

安卓用户注意，恶意软件伪装成系统更新

Azure Confidential Ledger:微软推出基于区块链的安全账本

SSL证书过期，Microsoft Exchange管理员网关被拦截

APP错误配置第三方服务致1亿用户数据泄露

Google I/O 2021：Chrome一键修改泄露密码新功能

FragAttacks攻击影响所有WiFi设备

Outlook更新致用户无法查看或创建邮件

Qualcomm MSM漏洞影响40%安卓手机

Remote Mouse App 6个0 day漏洞，1000万用户受影响

微软弃用SHA-1，多个.NET框架不再支持

苹果AirDrop个人信息泄露漏洞影响15亿苹果设备

数据隐私的未来：机密计算、量子密码学、全同态加密

Linux kernel潜藏15年的漏洞

深度伪造与检测技术综述

IEEE S&P 2021录用论文

首个为苹果M1 芯片设计的恶意软件

实锤：网约车大数据杀熟？复旦教授打800次车，发现越贵的手机打车越贵

机器学习对抗攻击是一颗“定时炸弹”

联邦学习中的隐私和鲁棒性:攻击和防御