Ünlü Platformda Kritik Kusur: Kripto Paralarınız Çalınabilir!

İsmail

New member
OpenSea‘deki kritik kusur, hackerların cüzdanlardan kripto para ünitesi çalmasına müsaade verebilir. Dünyanın en büyük dönüştürülemeyen token (NFT) pazarı olan OpenSea’de (şu anda yamalı kritik bir güvenlik açığı), berbat niyetli aktörler tarafınca, özel olarak hazırlanmış bir token gönderilerek ve sömürü için yeni bir taarruz vektörü açılarak bir kurbandan kripto para ünitesi fonlarını boşaltmak için berbata kullanılabilirdi. Kriptokoin.com olarak detayları veriyoruz.


Kripto paranız çalınabilirdi?

Bulgular siber güvenlik firması Check Point Research’ten geliyor. Firma, fiyatsız airdrop NFT’ler tarafınca tetiklenen, çalıntı kripto para cüzdanlarının halka açık raporlarının akabinde platform hakkında bir araştırma başlattı. Problemler, 26 Eylül 2021’de bir saatten daha kısa bir süre ortasında düzeltildi. Check Point araştırmacıları, “Yama uygulanmadan bırakılan güvenlik açıkları, bilgisayar korsanlarının kullanıcı hesaplarını ele geçirmesine ve makus niyetli NFT’ler oluşturarak tüm kripto para cüzdanlarını çalmasına müsaade verebilir” dedi.


İsminden da anlaşılacağı üzere, NFT’ler, doğrulanmış ve halka açık bir sahiplik ispatı oluşturmak için teknolojiyi bir özgünlük sertifikası olarak kullanan, blockchainde alınıp satılabilen fotoğraflar, görüntüler, ses ve başka öğeler üzere eşsiz dijital varlıklardır. Hücumun işleyiş biçimi, kurbanlara, makûs niyetli bir NFT göndermeye dayanır. Bu NFT tıklandığında, üçüncü taraf bir cüzdan sağlayıcısı aracılığıyla, amaçlar ismine cüzdanlarını bağlamak ve üzerinde aksiyonlar gerçekleştirmek için bir cüzdan imzası sağlayarak hileli süreçlerin kolaylaştırılabileceği bir senaryo ile sonuçlanır. Araştırmacılar, “Kullanıcılar, OpenSea’de ve öteki NFT platformlarında ne imzaladıklarının ve beklenen hareketlerle bağlı olup olmadığının çok farkında olmalıdır” dedi.


OpenSea dikkatli olmaya çağırdı

OpenSea, bu güvenlik açığından yararlanıldığı rastgele bir örnek tespit etmediğini, lakin kullanıcıların berbat niyetli imza isteklerini daha uygun tanımlamasına yardımcı olmak için üçüncü taraf cüzdan hizmetleriyle birlikte çalıştığını ve ayrıyeten kullanıcıların dolandırıcılık ve kimlik avı taarruzlarını engellemesine yardımcı olacak öteki teşebbüsleri de eklediğini söylemiş oldu. Check Point‘te eser güvenlik açıkları araştırması lideri Oded Vanunu: “Blockchain inovasyonu süratle devam ediyor ve NFT’ler burada kalacak; inovasyonun suratı göz önüne alındığında, yazılım uygulamalarını ve kripto pazarlarını inançlı bir biçimde entegre etmenin tabiatında bir zorluk var” dedi. Vanunu: “Kötü aktörler, tüketicilerin benimsenmesinin artmasıyla şu anda yararlanmak için açık bir pencereye sahip olduklarını biliyorlar, lakin bu alandaki güvenlik tedbirlerinin hala yetişmesi gerekiyor.”
 
Üst