Check Point Research ist auf eine Sicherheitslücke bei OpenSea gestoßen, dem größten Marktplatz für den Handel mit Non-Fungible Tokens (NFT) und hat diese in Zusammenarbeit mit den Verantwortlichen des Anbieters geschlossen. Die Lücke hätte es Kriminellen erlaubt, mittels verseuchter Dateien die Kontrolle über die Krypto-Wallets ihrer Opfer zu erlangen und diese zu plündern. Check Point erklärt die Schwachstelle in einem kurzen Video.
Aufmerksam geworden waren die Sicherheitsforscher, da sich im Netz vermehrt Berichte von Nutzern anderer Marktplätze häuften, die behaupteten, ihre Krypto-Wallets seien gestohlen oder geleert worden. Im Zuge der Untersuchung deckten die Experten dann eine Schwachstelle auf, durch die Hacker mit einer Malware das Konto und den digitalen Geldbeutel eines Anwenders übernehmen konnten:
Check Point teilte die Ergebnisse der Nachforschungen umgehend dem Betreiber OpenSea mit, um die Schwachstelle zu beseitigen. Ein Sprecher von OpenSea äußerte sich entsprechend: „Sicherheit ist für OpenSea von grundlegender Bedeutung. Wir schätzen es, dass uns das CPR-Team auf diese Schwachstelle aufmerksam gemacht hat und mit uns zusammenarbeitete, als wir die Angelegenheit untersuchten – und innerhalb einer Stunde, nachdem wir darauf aufmerksam gemacht wurden, einen Fix implementierten.“
Laut OpenSea konnten keine Fälle festgestellt werden, in welchen die Schwachstelle für einen Diebstahl ausgenutzt wurde. Alleine im August verzeichnete die Plattform ein Transaktionsvolumen von 3,4 Milliarden US-Dollar (2,9 Milliarden Euro).
Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, erklärt zu der Forschungsarbeit: „Unser Interesse an OpenSea wurde geweckt, als wir Gerüchte über gestohlene Krypto-Wallets im Internet lasen. Wir vermuteten, dass es eine Angriffsmethode für OpenSea gibt und begannen mit einer gründlichen Untersuchung der OpenSea-Plattform.
Das Ergebnis war die Entdeckung einer Möglichkeit, Krypto-Wallets von Nutzern zu stehlen, indem ein bösartiger NFT über OpenSea gesendet wird. Wir haben unsere Erkenntnisse sofort und verantwortungsbewusst an OpenSea gemeldet und die Verantwortlichen haben mit uns zusammengearbeitet, um schnell eine Lösung zu finden. Ich glaube, dass unsere Forschungsergebnisse und das schnelle Handeln von OpenSea den Diebstahl von Krypto-Wallets verhindert haben.
Festzuhalten bleibt: Die Blockchain-Innovation ist in vollem Gange und NFTs sind nicht mehr wegzudenken. Angesichts der schnellen Geschwindigkeit von Innovation besteht eine Herausforderung daraus, Anwendungen und Krypto-Märkte sicher zu integrieren. Hacker wissen, dass es ein offenes Fenster gibt, welches sie ausnutzen können, weil die Akzeptanz der digitalen Gelder bei den Verbrauchern stark zunimmt. Die Sicherheitsmaßnahmen in diesem Bereich aber müssen aufholen. Die Spezialisten für IT-Sicherheit müssen daher den Pionieren der Blockchain-Technologien helfen, die Krypto-Vermögenswerte der Verbraucher zu schützen. Wir warnen die OpenSea-Gemeinschaft eindringlich, auf verdächtige Aktivitäten zu achten, die zu Diebstahl führen könnten, da wir glauben, dass Kriminelle ihre Bemühungen, um Krypto-Wallets zu kapern, ausbauen und dabei auf Schwachstellen zielen werden.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…